[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:34795] rp_filter の扱いが分かりません

From: WATANABE Takashi <lieudna@xxxxxxxxxxx>
Subject: [debian-users:34795] rp_filter の扱いが分かりません
Date: Tue, 8 Oct 2002 02:15:06 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-level: ****
X-spam-status: No, hits=4.1 required=10.0 tests=ISO2022JP_CHARSET,ISO2022JP_BODY,CASHCASHCASH,US_DOLLARS_2, DOUBLE_CAPSWORD,UPPERCASE_50_75 version=2.31
Message-id: <20021008.021506.971156714.lieudna@xxxxxxxxxxx>
X-mail-count: 34795
X-mailer: Mew version 2.2 on XEmacs 21.4.6 (Common Lisp)

渡辺です。

一人でもできそうなんですが、設定を間違えるとえらいことになり
そうなので、詳しい方の意見を聞きたいのですが、よろしいでしょ
うか？

[環境]
--- ルータ --- ハブ --- eth0 - そのホスト

Woody にてカーネル 2.4.19 をコンパイルしてインストールしたと
ころ、/proc/sys/net/ipv4/conf/eth0/rp_filter に 1 がセットさ
れてしまうようになってしまいました。

でも、そのホストをインターネットへ公開したいので、インターネ
ットからアクセスできるように 0 を設定する必要があるという認
識でいます。

/etc/init.d/networking が実行される時点で rp_filter がどうい
う状態なのか、よく分からないのですが、とにかく起動時に rp_filter 
に 0 を設定するにはどうしたら一番良いのでしょうか？(Debian で
はデフォルトで設定するらしいのですが)

ところで、rp_filter は 0 にしても、iptables を使ってセキュリ
ティを強化すれば問題はないですよね？

始め、
# iptables -P INPUT DROP
とやったら、キーボードが打てなくなって、いささか焦りました。(馬鹿)
なるほど。 /usr/share/doc/iptables/README.Debian のアレはこう
いうことだったのか等と体で覚えつつも、気を取り直して、PC を再
起動してから、
# iptables -n nat -P PREROUTING DROP
として、すべてのアクセス要求を拒否してから、
# iptables -A PREROUTING -p tcp --dport www -j ACCEPT
# iptables -A PREROUTING -p tcp --dport smtp -j ACCEPT
# iptables -A PREROUTING -p tcp --dport domain -j ACCEPT
としました。

そのホストでは、apache, postfix, bind をインターネットへ公開
しているのですが、あと何か足りない設定はありますでしょうか？

それから、iptables-save は標準出力へ出力するだけみたいなので、
永久的に保存するために、
# /etc/init.d/iptables save active
と実行しました。でも、起動時には active というルールセットが
読み込まれるわけではないようです。Debian において、起動時にデ
フォルトのルールセット(私の場合は active)を自動でロードするに
はどうしたら良いのでしょうか？

いつも、初歩的な質問ばかりで申し訳ないです。

============================== 区切り ==============================
# iptables-save
# Generated by iptables-save v1.2.6a on Tue Oct  8 01:54:02 2002
*nat
:PREROUTING DROP [66:4205]
:POSTROUTING ACCEPT [238:11092]
:OUTPUT ACCEPT [238:11092]
-A PREROUTING -p tcp -m tcp --dport 80 -j ACCEPT 
-A PREROUTING -p tcp -m tcp --dport 25 -j ACCEPT 
-A PREROUTING -p tcp -m tcp --dport 53 -j ACCEPT 
COMMIT
# Completed on Tue Oct  8 01:54:02 2002
# Generated by iptables-save v1.2.6a on Tue Oct  8 01:54:02 2002
*mangle
:PREROUTING ACCEPT [3118:351768]
:INPUT ACCEPT [2715:208474]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1896:225681]
:POSTROUTING ACCEPT [1896:225681]
COMMIT
# Completed on Tue Oct  8 01:54:02 2002
# Generated by iptables-save v1.2.6a on Tue Oct  8 01:54:02 2002
*filter
:INPUT ACCEPT [2715:208474]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1896:225681]
COMMIT
# Completed on Tue Oct  8 01:54:02 2002
============================== 区切り ==============================

Follow-Ups:
- [debian-users:34796] Re: rp_filter の扱いが分かりません
  - From: ISHIKAWA Mutsumi
- [debian-users:34805] Re: rp_filter の扱いが分かりません
  - From: WATANABE Takashi

Prev by Date: [debian-users:34794] Re: mailx with lv (woody & sarge)
Next by Date: [debian-users:34796] Re: rp_filter の扱いが分かりません
Previous by thread: [debian-users:34802] Re: TeXでTrueTypeフォントを使う方法
Next by thread: [debian-users:34796] Re: rp_filter の扱いが分かりません
Index(es):
- Date
- Thread