[plamo:13218] Re: IPMasqueradeの設定の件

[pc8m-ogs]

小楠です。

日下部さん、よろしくお願いします。
自分でも"なにかきちんと理解できていない気がする"という話で(つまり"ずば
りの質問を描けていない)、質問の背景すらまともに説明できず、すみません。
まず、質問に対する確認事項から。

>小楠さんの結論として出された部分と思われる箇所を引用します:
>> 1.IP Masquerade ルールの一括定義をして個別のサービス毎に ACCEPT を定義
>> するとIPは変更されずにそのままルータを通過してしまう。
>
>IP Masq. ルール一括定義と、個別のサービス毎に、の部分、それぞれ
>「どのインターフェイスのどのチェイン」について言ってますか?

"インターフェイス"にピンとこない辺り、私がきちんと理解できていない気が
します。eth0 or eth1 を指しておられると思って進めますね。ここでは
forward のチェインのみを考えており、eht0 or eth1 は意識していませんで
した。

>> 2.したがって現実的なルールは個別のサービス毎に target を MASQ として定
>> 義するものである。
>
>現実的なルールとはなんでしょうか。

解説ドキュメントや書籍が"説明のために示した使用例"とは別に"実際の設定
で使うルール"を表現するつもりで"現実的なルール"を使いました。

---
具体的な目標ルールを挙げてみます。
内部からの要求に対して、IPマスカレードを使って、
DNS,smtp,pop3,ssh,http,ftp のサービスのみを通過させたい、というフィル
タリングを実現したいと考えています。

日下部さんが示された"チェイン forward について -j MASQ を適用して、チェ
イン input に...."という方法でも同じ結果が得られればOKです。ですから質
問の意図としては、私が設定しようとしている例が問題の無いIPマスカレード
の設定例であるか(例えば、日下部さんの例と私の例で同値か否か)、にありま
す。(ですから日下部さん指摘の例では"確実でない"という意見は私にはあり
ません。そもそも考えていなかった(下記)という...^^; )

私の今までの発想は、チェイン input 、output はいじらずにチェイン
forward のみでルールを設定しようとしていました。日下部さんの例を拝見す
るとチェイン forward は( eth1 から eth0 に向かって) -j MASQ を適用して、
チェイン input (または output )でポート毎にルールを適用されていました。
指摘頂いて初めて思ったことは、後者(日下部さん指摘)の視点のほうがより一
般的な(というよりも考え易い)のでしょうか？(Q1)

もとの質問にこだわりますと、チェイン forward のみで目標を達成しようと
すると私の設定例は有効でしょうか？(Q2)

以下のように設定することは、DNSのポートについては ACCEPT してしまうた
め、DNS に関しては無意味(無効なルール)と考えています。私の理解は妥当で
しょうか？(Q3)

#/sbin/ipchains -A forward -s 192.168.1.0/24 -d 0.0.0.0/0 -j MASQ
#/sbin/ipchains -A forward -i eth1(内部) 1024:65535 \
-o eth0(外部) dns -j ACCEPT 
#/sbin/ipchains -A forward -i eth0(外部) dns\
-o eth1(内部) 1024:65535 -j ACCEPT