[plamo:23645] Re: ppp-2.4.2 final test

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[plamo:23645] Re: ppp-2.4.2 final test

From:早間義博

Date:Wed, 22 Sep 2004 20:22:47 +0900 (JST)

Subject: [plamo:23645] Re: ppp-2.4.2 final test
From: 早間義博<yossi@xxxxxxxxxxxxxx>
Date: Wed, 22 Sep 2004 20:22:46 +0900 (JST)

こんばんは、早間です。

From: Shun-ichi TAHARA (田原 俊一) <jado@flowernet.gr.jp>
Subject: [plamo:23644] ppp-2.4.2 final test
Date: Wed, 22 Sep 2004 17:30:50 +0900 (JST)
Message-ID: <20040922.173050.160070761.jado@flowernet.gr.jp>

>     /etc/rc.d/rc.inet1 で、以下のように設定してください。
> 
>       1:echo 1 > /proc/sys/net/ipv4/ip_forward
>       2:iptables -t nat -A POSTROUTING -o XXX -j MASQUERADE
>       3:iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS
>         --clamp-mss-to-pmtu
>       4:ifconfig XXX up 0.0.0.0
>       5:pon xxxxx

  2:iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERAD

と ppp0 決め打ちで良いと思います。

私は、eth0 で PPPoE を実行する時には ppp0 を指定していましたが、
eth0 でも良いのでしょうね、使ったことはありません。

  iptables -P INPUT drop
  iptables -A INPUT -i lo -j ACCEPT

は必要です。ルータが射的の的になります。

iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
#iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp ! --syn -j ACCEPT

位あれば、ルータとしてでは無く自機からつながるでしょう。
（echo-request は随意です）

安全のためには
iptables -A INPUT -i ppp0 -s 10.0.0.0/8 -j DROP 
iptables -A INPUT -i ppp0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i ppp0 -s 192.168.0.0/16 -j DROP
何せ 127.0.0.1 発のパケットが来ます（これは pppd が通しません）

私は、
iptables -P OUTPUT DROP
iptables -A OUTPUT -o lo -j ACCEPT
とし、接続後（pon の後、ip-up の中でも良いのです）概略下記のコマン
ドを実行しています。 

ifconfig ppp0 | perl -e 'while (<stdin>){
  if ($_ =~ /inet\saddr:/) {
   ($ip)=/addr:([\d\.]+)/;
   print "iptables -I INPUT 1 -s $ip -j DROP\n";
   print "iptables -A OUTPUT -s $ip -j ACCEPT\n";}}'|
  /bin/sh

pon 実行前に
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -P OUTPUT DROP
iptables -A OUTPUT -o lo -j ACCEPT
iptables -P FORWARD DROP
にしておいて、接続後各種設定をすれば無防備な状況が発生しません。

また、kernel のコンパイルの設定にもよりますが plamo の配布カーネル
で iptables を使用するならば
   modprobe ip_conntrack_ftp
が必要です。
(Passive ならば良いでしょうが、書いて置かないとplamoがニギヤカにな
ります）
   insmod ip_conntrack
   insmod ip_nat_ftp
は自信がありませんが付けています。

あるいは IP: Netfilter Configuration で次の設定をされると良いと思
います（残りは配布版どおり m )。

CONFIG_IP_NF_CONNTRACK=y
CONFIG_IP_NF_FTP=y
CONFIG_IP_NF_IPTABLES=y
CONFIG_IP_NF_MATCH_PKTTYPE=y
CONFIG_IP_NF_MATCH_STATE=y
CONFIG_IP_NF_FILTER=y
CONFIG_IP_NF_TARGET_REJECT=y
CONFIG_IP_NF_NAT=y
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=y
CONFIG_IP_NF_NAT_LOCAL=y
CONFIG_IP_NF_NAT_FTP=y
CONFIG_IP_NF_MANGLE=y
CONFIG_IP_NF_TARGET_LOG=y
CONFIG_IP_NF_TARGET_ULOG=y

-- 早間  yossi@yedo.src.co.jp

Follow-Ups
: [plamo:23651] Re: ppp-2.4.2 final test, Shun-ichi TAHARA (田原俊一)

References
: [plamo:23644] ppp-2.4.2 final test, Shun-ichi TAHARA (田原俊一)

Prev by Date: [plamo:23644] ppp-2.4.2 final test
Next by Date: [plamo:23646] 電源がやばいのかしら？
Previous by thread: [plamo:23644] ppp-2.4.2 final test
Next by thread: [plamo:23651] Re: ppp-2.4.2 final test
Index(es):
- Date
- Thread

[検索ページ] [メール一覧]
Plamo ML 公開システム