[plamo:23591] Re: カーネルモードPPPoEを利用したルータ

[T.Nikki]

新木です。

In the message <20040915.120044.438794592.jado@flowernet.gr.jp>
At Wed, 15 Sep 2004 12:00:44 +0900 (JST)
Shun-ichi TAHARA (田原 俊一) (以下「Shun-ichi TAHARA (田原 俊一)」) wrote:

田原> えーとですね、ip-up で、ip_forward が有効で、かつ、PPPoE であれば、
田原> TCPMSS まわりの iptables の設定をする、というふうに仕込もうかとも考え
田原> ていたのですが、どう思います?

処理の流れがすっきりするのでいいのではないかと思います。。

Shun-ichi TAHARA (田原 俊一)> ip-up に TCPMSS の処理を突っ込んでしまえば、多分、/etc/rc.inet1 に、

田原>   echo 1 > /proc/sys/net/ipv4/ip_forward

田原>   /sbin/ifconfig eth0 up
田原>   /usr/sbin/pon pppoe

田原>   /usr/sbin/iptables ... (NAT に関する設定)

田原> の順番で書けばいけるんだと思いますが、合ってますよね?

順番的には合ってるとおもいます。
/usr/sbin/pppoe が ip-up の実行まで待ってくれたかどうか
確証がないのですが（すみません）。
NAT の設定も ip-up に突っ込むというのはどうでしょうか。

うちでは確実を期すために TCPMSS と NAT の処理はひとつの
スクリプトでやることにしました。

あと、rc.inet1 から pppoe を呼ぶとすると、フィルタリングの
処理をその前に入れた方がいいような気がしますね。

Linux だと今のところそういう話は聞きませんが、
「WinXP をインストールして、脆弱性に対処するために
Windows Update をかけようとしてインターネットに
接続したら、その脆弱性をつかれてワームに感染した」なんて
話もありますし。

-- 
新木 健                            // Welcome to Procyon Home Page //
nikki@procyon.org                  // http://www.procyon.org/      //