[plamo:13261] Re: IPMasqueradeの設定の件

[pc8m-ogs]

小楠@考え中...です。

こちらのメールの返事に続けますね。要は MASQ の使い方として input 併用
が分かったので安心して設定できるのですが。

先日のメールから。-o は適当すぎました。フォローに救われましたです(感謝)。
Date: Mon, 4 Mar 2002 15:59:30 +0900
Message-Id: <20020304.155927.58647140.kusakabe@reccoa.net>

(A2)
>元の質問って、これのことだとします。
>> /sbin/ipchains -P forward DENY
>> #例えば　DNS(53/udp)
>> /sbin/ipchains -A forward -j MASQ -p udp -s 192.168.1.0/24 1024:65535\
>>  -d 0.0.0.0/0 domain 
>
>これだと、
>  -i ethx 
>がないけど、-s と -d 区別が ??? なのと(多分、ethxの解釈はその都度変わ
>るのですかね?)、
>  MASQってこんな使い方できるの? (c.f. man 8 ipchains)
>っていう疑問があります。

もともとは参考にした書籍の設定を一部流用したものなのですが、
man 8 ipchians を読んでみて、ダメそうという読解もできませんでした。省
略した場合はあらゆるインターフェースが match するようです。するとパケッ
トの source が指定されているので、解釈はその都度変わってくれないものの、
設定条件としては -i eth1 と同値になると理解しています。


From: KUSAKABE -bourbon!- Toshiaki <kusakabe@reccoa.net>
Date: Wed, 6 Mar 2002 15:40:47 +0900
Message-ID: <20020306.154045.128052460.kusakabe@reccoa.net>

>良く良く考えてみると、IP Masquarade の意味は、
>src アドレスからのパケットを、1024番以上のポートに割り当て、送信元IPア
>ドレスを WAN側のIPアドレスに変換し、そのポートでの通信を行ない、そのポー
>トへの通信は、元のアドレスへの応答だと考え、そのLANのマシンの元のポー
>トへフォワードする

> 小楠さんの案だと、「外から内」への IP Masq. のルールがないので、外から
> コネクションを張りにいけません。

(外からコネクションが...)ftpがルータ越しに使えないという課題はかかえて
いるのですが....。
日下部さんがまとめられた IPマスカレードの説明は私の理解と一致します。
その後、"外から内へのルールが必要"というところが納得できません。man 8
ipchains にも
" Furthermore, reverse packets will be recognized as such and they
will be demasqueraded automatically, bypassing the forwarding chain."
と、automatically に処理してくれるので、外から内へのルールは不要である、
というのが私の理解です。
この点はいかがでしょう？


IPMASQADM というものを勉強してみます。

> 以上で、やっとまともな回答になってきたでしょうか? (^^;;;

申し訳ありません。もう少し手解きを。m_._;m
日下部さんの設定を"パクる"だけでは、"理解したい"という目的と違うもので
すから(ニーズは満たされるのですけど)。