[plamo:13186] IP Masqueradeの設定の件

[pc8m-ogs]

小楠です。

PCルータを構成したいとNIC二枚差しなどをおこなってルータとして機能する
様になりました。同時にパケットフィルタリングも行いたいと考えています。
そこで、ipchains の設定方法(特にIP Masquerade)で疑問に思うことがありま
すので、相談させてください。

質問の主旨は、ipchain の IP Masquerade 定義に関してで、以下の私の理解
は正しいでしょうか?というものです。
書籍やドキュメントを見た限りではIPマスカレードの使い方として一括してマ
スカレードする例がよく示されていました
(ex. 
/sbin/ipchains -A forward -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQ)。
すべてのプライベートアドレスとユーザポートをソースにした場合にIPマスカ
レードをターゲットにするものです。ただし私が見た中で次のような記述の書
籍もありました。
”IPパケットフィルタリングと同じように特定のアドレス、特定のプロトコル、
特定のポートに対してのみIPマスカレードを設定し、あとは通過させない設定
も可能です。”（実践 Linux セキュリティー:すずきひろのぶ著）。
以上の情報からの私の理解はIPマスカレードとパケットフィルタリングを両立
しようとしたときには、結果的に以下の設定が確実ではないかとの結論に至り
ました。

1.IP Masquerade ルールの一括定義をして個別のサービス毎に ACCEPT を定義
するとIPは変更されずにそのままルータを通過してしまう。
2.したがって現実的なルールは個別のサービス毎に target を MASQ として定
義するものである。

気になるのは引用した文献の”設定も可能です。”の”も”です。私の1の解
釈は不確かな気もします。上記の理解も間違いではないのでしょうか？

***
現在設定しようとしているルール(DNSを代表に）と、構成を最後に示します。
ルータに使っているカーネルは 2.2.19 です。
ex.
/sbin/ipchains -P forward DENY
#例えば　DNS(53/udp)
/sbin/ipchains -A forward -j MASQ -p udp -s 192.168.1.0/24 1024:65535\
 -d 0.0.0.0/0 domain 
#以下 DNS と同様にhttp,smtp,pop3,sshなどの定義が続きます。


現在の構成を示しておきます。

ADSL modem
    |
    |
    | eth0 (DHCP)
  router PC
    | eth1(192.168.0.1)
    |
   HUB
    |
    |(192.168.1.*)
 各PC