[plamo:13275] Re: IPMasqueradeの設定の件

[KUSAKABE -bourbon!- Toshiaki]

おはようございます、日下部です。

ここまでメールをやりとりして、小楠さんの LAN の構成について、僕の誤解
があるのかもしれないのかな? って思ってます。

というのも、僕は、小楠さんが
  「外界への DNS, smtp, pop3, ssh, httpなどのサービスを提供する」
前提を考えているのですが、メールを読み返しても具体的にこの辺りが小楠さ
んのフォローにないからです…。不安になったのですが、この辺、どうでしょ
うか?

ところでどうしてこういう前提を考えたかというと、LANにあるマシンへのパ
ケットフィルタリングについて疑問を抱いてらっしゃったからです。
LANにあるマシンへのアタックがあるとすると、LANのマシンへのフィルタリン
グは有効だと思うのですが、そもそもサーバーを上げていることを考えないと
するとフィルタリングする意味がないので、そう短絡的に結論してました。

もし違ったら(LANはすべてクライアントであるという場合)、これまでのやり
とりで無駄な部分が多々ありました (^^;;;

さて、

> 小楠@考え中...です。
> 
> こちらのメールの返事に続けますね。要は MASQ の使い方として input 併用
> が分かったので安心して設定できるのですが。
> 
> 先日のメールから。-o は適当すぎました。フォローに救われましたです(感謝)。

ということで、なんかお互いの認識が一致してきたところで…

> (A2)
> >元の質問って、これのことだとします。
> >> /sbin/ipchains -P forward DENY
> >> #例えば　DNS(53/udp)
> >> /sbin/ipchains -A forward -j MASQ -p udp -s 192.168.1.0/24 1024:65535\
> >>  -d 0.0.0.0/0 domain 
> >
> >これだと、
> >  -i ethx 
> >がないけど、-s と -d 区別が ??? なのと(多分、ethxの解釈はその都度変わ
> >るのですかね?)、
> >  MASQってこんな使い方できるの? (c.f. man 8 ipchains)
> >っていう疑問があります。
> 
> もともとは参考にした書籍の設定を一部流用したものなのですが、
> man 8 ipchians を読んでみて、ダメそうという読解もできませんでした。省
> 略した場合はあらゆるインターフェースが match するようです。するとパケッ
> トの source が指定されているので、解釈はその都度変わってくれないものの、
> 設定条件としては -i eth1 と同値になると理解しています。

なるほど、そう言われればそうかもしれないですね。
(ここではパケットのIPアドレスを fake するアタックの話はおいておきます ^^;)

ところで、私の
> >  MASQってこんな使い方できるの? (c.f. man 8 ipchains)
ですが、-i がないことではなく、src/dest port の指定の話です。できるの
かなぁ、どうかなぁとは思うんですけど…そうすると意味が分からないし…。

> >良く良く考えてみると、IP Masquarade の意味は、
> >src アドレスからのパケットを、1024番以上のポートに割り当て、送信元IPア
> >ドレスを WAN側のIPアドレスに変換し、そのポートでの通信を行ない、そのポー
> >トへの通信は、元のアドレスへの応答だと考え、そのLANのマシンの元のポー
> >トへフォワードする
↑(*1)とします

> > 小楠さんの案だと、「外から内」への IP Masq. のルールがないので、外から
> > コネクションを張りにいけません。
↑(*2)とします

> (外からコネクションが...)ftpがルータ越しに使えないという課題はかかえて
> いるのですが....。
> 日下部さんがまとめられた IPマスカレードの説明は私の理解と一致します。

これは、*1 には同意して頂けるということでよろしいですか?

> その後、"外から内へのルールが必要"というところが納得できません。man 8
> ipchains にも
> " Furthermore, reverse packets will be recognized as such and they
> will be demasqueraded automatically, bypassing the forwarding chain."
> と、automatically に処理してくれるので、外から内へのルールは不要である、
> というのが私の理解です。
> この点はいかがでしょう？

これは *2 についての意見でよろしいでしょうか?
もしそうだとすると、理解はあっているが誤解があるのではないでしょうか?

私が言っているのは、「内→外へのコネクションを張った場合の通信はいいが、
逆の外から内へのコネクションを張るルールがないのでは?」ということです。
つまり、LAN の Windowsマシンから外界の www を見るときの話はいいけど、
例えば、LANのSMTPサーバへ、外界のSMTPサーバーがアクセスするのはできな
いのではないでしょうかってことです。

ちょっと考えてみるといいかと思います。
例えば、うちの smtp が小楠さんの LAN の smtpサーバーと SMTPでおしゃべ
りしたいと思っています。しかし、Internet側から接続にいくと、Router の
eth0 のIPアドレスしか分かりません。さてどうしましょう?
…
僕ならば、Linux Box Router に smtpサーバーのふりをさせます。
そしてリクエストがきたら、LANのsmtpサーバーへのポートフォワーディング
ルールを適用し、適切なマシン(e.g. 192.168.1.8)へ送ります。そのマシン
は、うちの smtpサーバーへ、IP Masq. を使って通信してきます。
ポートフォワーディングには ipmasqadm ipfw ... なんてのを使います。

いかがでしょうか? 言いたかったことはこれなんです (^^;

> IPMASQADM というものを勉強してみます。

googleなどで検索すると一杯引っかかるのですが、JF の HOWTO にも僕が↑で
言った様なことに使うよん、って書いてあります。
＃残念ならが詳細に解説する内容は見つかってないです。。。

> > 以上で、やっとまともな回答になってきたでしょうか? (^^;;;
> 
> 申し訳ありません。もう少し手解きを。m_._;m
> 日下部さんの設定を"パクる"だけでは、"理解したい"という目的と違うもので
> すから(ニーズは満たされるのですけど)。

ということで、どうでしょう?
まだ何か疑問があればどうぞ…

＃私は経歴はあるが、万年初心者なので、ポカも多いです。。。
-- 
//                   東京都練馬区   ぶるぼん企画                   //
//                 日下部 俊昭 <kusakabe@reccoa.net>               //