[plamo:13188] Re: IPMasqueradeの設定の件

[KUSAKABE -bourbon!- Toshiaki]

日下部@東京都練馬区です。

＃自分でもちょっと気になる質問でしたので、敢えて恥を晒すつもりで、、、

何か難しい質問ですが…不確かな部分があるので、ちょっと逆に質問させて下
さい。(僕が勘違いしているといけないので)

小楠さんの結論として出された部分と思われる箇所を引用します:
> 1.IP Masquerade ルールの一括定義をして個別のサービス毎に ACCEPT を定義
> するとIPは変更されずにそのままルータを通過してしまう。

IP Masq. ルール一括定義と、個別のサービス毎に、の部分、それぞれ
「どのインターフェイスのどのチェイン」について言ってますか?

> 2.したがって現実的なルールは個別のサービス毎に target を MASQ として定
> 義するものである。

現実的なルールとはなんでしょうか。

--- さて、僕が疑問に思うのは、

チェイン forward について、-j MASQ を適用して、
チェイン input -i eth0(WAN側) について、ポート毎にルール(ACCEPT, DENY)
を適用するのと、

> ”IPパケットフィルタリングと同じように特定のアドレス、特定のプロトコル、
> 特定のポートに対してのみIPマスカレードを設定し、あとは通過させない設定
> も可能です。”（実践 Linux セキュリティー:すずきひろのぶ著）。
> 以上の情報からの私の理解はIPマスカレードとパケットフィルタリングを両立
> しようとしたときには、結果的に以下の設定が確実ではないかとの結論に至り
> ました。

とで、僕は、結果として同じ結果が得られればいいとか考えますけど、なにが
まずいのでしょうかねえ、という点です。まずこの疑問を感じるのが、小楠さ
んの質問の意図とずれているか、ということはどうでしょうか?

または、御質問はロジカルな質問でしかなくて、僕が出した例と小楠さんの例
とが同値か否かという質問なのでしょうか?

もしくは、上の小楠さんの文の引用の「確実ではないか」という部分、何か私
の方法では「確実でない」部分があるのでしょうか。そうだったら、その部分
をちょっと教えて下さい。

では
-- 
//                   東京都練馬区   ぶるぼん企画                   //
//                 日下部 俊昭 <kusakabe@reccoa.net>               //