[plamo:24271] Re: Q again for IP_MASCUERADE

[早間義博]

おはようございます、早間です。

From: tanimura <tanimura@osa.att.ne.jp>
Subject: [plamo:24270] Re: Q again for IP_MASCUERADE
Date: Sat, 11 Dec 2004 05:13:23 +0900
Message-ID: <41BA0363.6070806@osa.att.ne.jp>

> はい。
> -i や　
> PREROUTING は必要ないのですね？
> どのような場合に使うのでしょう？
>

PREROUTING は たとえば Web サーバを ppp 接続をしていないホストで
稼働する場合
 iptables -t nat -A PREROUTING -p tcp -i ppp0 \
  --destination-port 81 -j DNAT \
  --to-destination 192.168.300.11:80
のようにすると外部からのアクセスを希望するホストに誘導出来ます。

ssh などで Local な IP のホストにアクセスするときに適当な port 
へのアクセスを Local IP の port 22 に PREROUTING で変更すれば
可能です。
 -i を使用するとネットカードを特定する事が出来ます。
「ローカルなホストからはアクセスを認めるが外からは認めない」などの
設定をするときに使用します。

> > pppd で default gw が外向きになっていると思います(多分)
> >  -s 192.168.0.0/24 は無くても同じですが、異なった IP が混じらなけ
> > れば不要です。
> >
> 恥ずかしながら、基礎的な知識不足です....:-)
> "pppd で default gw が外向き"　　はどのように調べるのでしょう？
> "異なった IP が混じらなければ"   はどのような場合に混じりますか？　　
>

pppd のオプションで defaultroute がついている場合が多いので
default gateway が設定されていると思います。
/etc/options か pppd のアーギュメントで指定しています。
default gateway の現状を調べるとには 
 # /sbin/route
を実行すると
Kernel IP routing table
Destination  Gateway      Genmask         Flags Metric Ref  Use Iface
192.168.1.0  *            255.255.255.0   U     0      0      0 eth0
192.168.1.0  *            255.255.255.0   U     0      0      0 eth0
192.168.0.0  *            255.255.255.0   U     0      0      0 eth1
192.168.0.0  *            255.255.255.0   U     0      0      0 eth1
loopback     *            255.0.0.0       U     0      0      0 lo
172.16.7.230 *            255.255.255.255 UH    0      0      0 ppp0
default      172.16.7.230 0.0.0.0         UG    1      0      0 ppp0

のように表示されます。
最下行の default が default gateway です。(表示位置が必ず最下行に
なるとは限りません)

他人？がいると勝手な IP を使用したり Virus に勝手に？かかったりします。
サーバへのいたずらも外部からより内部の行動が多いと言われています。
悪意が無くても行動が同じならば同じ影響が出ます。
家族だけで使用する場合でも、各々のホストに適当なガードをかけることによって間違っ
た操作からの影響を免れることが出来ます。
MASQUERADE の IP を制限すると「つながりません」と言う言葉で問題が
伝えられることがあります。

> はい、まだ「きちんと」は設定していませんが、
> お二人の助言を頼りに、-j MASQUERADE 「だけ」を試みたところ、
> LAN に繋がる remote Debian から Net にアクセスできました！
> 
> # 余計な filter ゃ 未消化のまま -i, PREROUTING などを
> # 試用していたのが敗因でした。
> 
もし、サーバなどの運用が無ければ下記の設定くらいをして下さい。何も
せずに接続するのは、むきみの貝みたいなものです。
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type port-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp ! --syn -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type port-unreachable -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp ! --syn -j ACCEPT

samba を使っているならば
iptables -A INPUT -i eth0 -p tcp --destination-port 135:139 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --destination-port 135:139 -j ACCEPT

nfs を使っているならば
iptables -A INPUT -i eth0 -p tcp destination-port 111 -j ACCEPT
iptables -A INPUT -i eth0 -p udp destination-port 111 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp destination-port 2049 -j ACCEPT
iptables -A INPUT -i eth0 -p udp destination-port 2049 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp destination-port mountd -j ACCEPT
iptables -A INPUT -i eth0 -p udp destination-port mountd -j ACCEPT
iptables -A INPUT -i eth0 -p tcp destination-port nlockmgr -j ACCEPT
iptables -A INPUT -i eth0 -p udp destination-port nlockmgr -j ACCEPT
この中で mountd と nlockmgr は
# rpcinfo -p
で調べて下さい。

-- 早間  yossi@yedo.src.co.jp
   一時接続回線からプロバイダの mailaddress メイルを直接送信した
   場合、受信しないことがありますのでご承知置き下さい。 
   詳しくは http://www.src.co.jp/greylisting.html をご覧ください。