[plamo:23651] Re: ppp-2.4.2 final test

[Shun-ichi TAHARA (田原 俊一)]

From: 早間義博 <yossi@yedo.src.co.jp>
Message-Id: <20040922.202246.71114927.yossi@yedo.src.co.jp>

>   2:iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERAD
> 
> と ppp0 決め打ちで良いと思います。

あ、これ、間違えました。

> 私は、eth0 で PPPoE を実行する時には ppp0 を指定していましたが、
> eth0 でも良いのでしょうね、使ったことはありません。

ダメだと思います。

>   iptables -P INPUT drop
>   iptables -A INPUT -i lo -j ACCEPT
> 
> は必要です。ルータが射的の的になります。
> 
> iptables -P OUTPUT ACCEPT
> iptables -P INPUT DROP
> iptables -A INPUT -i lo -j ACCEPT
> #iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
> iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -p tcp ! --syn -j ACCEPT
> 
> 位あれば、ルータとしてでは無く自機からつながるでしょう。

このへんですが、どこまで提示するかは微妙なところですね。

個人的には、IPマスカレード + MSS調整のみ (この2つはないと機能しない)
の現状のやつですら、Plamo(tradnet)的には過剰サービスだと思っています。

これはあくまで、ルータの作り方を解説しているドキュメントではなく、
PPPoE のセットアップユーティリティですので。

> また、kernel のコンパイルの設定にもよりますが plamo の配布カーネル
> で iptables を使用するならば
>    modprobe ip_conntrack_ftp
> が必要です。
> (Passive ならば良いでしょうが、書いて置かないとplamoがニギヤカにな
> ります）
>    insmod ip_conntrack
>    insmod ip_nat_ftp
> は自信がありませんが付けています。

このへんって、必要なときに勝手に組み込まれてた記憶がありますけど。
少なくとも、net-pf-XXX に対する alias を書いておけば大丈夫なはずですが、
暫く Linux box をルータにしてない(最後に使ったのが 2.4.0-test10だし)で
すので、このへんは識者に譲ります。
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
田原 俊一   jado@flowernet.gr.jp, shunichi_tahara@zenrin.co.jp
                                  http://flowernet.gr.jp/jado/
FingerPrint:  16 9E 70 3B 05 86 5D 08  B8 4C 47 3A E7 E9 8E D9
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣