[debian-users:24934] Re: ipchains のログ機能

[MATSUDA Yoh-ichi / 松田陽一 <yoh@xxxxxxxxxxxx>]

こんにちは。松田陽一@三鷹です。

From: Hiroyuki Shimada <shimaden@xxxxxxxxx>
Subject: [debian-users:24929] Re: ipchains のログ機能
Date: Thu, 2 Nov 2000 00:33:59 +0900

> 　こんにちは。島田です。

どうもです。^^

> > smtp に限らず、全ての通信は双方向である訳ですから、
> > 
> > /sbin/ipchains -A hoge -p tcp -s 0/0 -d 外向けのIPアドレス smtp -j DENY
> > 
> > とすることで、どうして外部からの接続要求と内部からの接続に対する
> > 応答を区別できるのかが判らないのです。
> 
> 　これは hoge が input である前提だからですよね。
> 
> 　組み込みチェーンでは input、output、forward があります。
> 
>            -----+
>                 |----+--- input ----   <--- 入ってくるパケット
>                 |    |
>                 |    |
>     Linux Box   | forward 中継するパケット
>                 |    |
>                 |    |
>                 |----+--- output ---   ----> 出て行くパケット
>            -----+
> 
> という 3 種類の方向について ipchains コマンドで指定できます。
> 　だから、-A オプション（または -I オプション）で input か output かを適
> 切に指定してやれば、出て行くパケットを相手にするのか、入ってくるパケット
> を相手にするのか指定できるわけです。

判り難い書き方だったでしょうか…

上記の図ですと、 input で入って来るパケットには、

・よそ者が Linux Box に対して何らかの接続要求をするパケット
  →外部からの接続要求

だけでなく、

・Linux Box から特定のサイトへ何らかの通信を行った際に、特定のサイト
  から帰って来る返答のパケット
  →内部からの接続に対する応答

も含まれている、と思いませんか?

smtp を例に取りますと、

| hoge:~$ telnet localhost smtp
| Trying 127.0.0.1...
| Connected to localhost.
| Escape character is '^]'.
| 220 hoge.youichikun.or.jp SMTP Nomail 0.4.8 (Caravanserai)
| helo youichi
| 250 hoge.youichikun.or.jp Hello youichi, pleased to meet you
| mail from: yoh@xxxxxxxxxxxx
| 250 Sender ok yoh@xxxxxxxxxxxx
| rcpt to: yoh@xxxxxxxxxxxx
| 250 Recipient ok
| data
| 354 Enter mail, end with "." on a line by itself
| this is a test mail.
| .
| 250 Message accepted for delivery
| quit
| 221 hoge.youichikun.or.jp closing connection
| Connection closed by foreign host.
| hoge:~$ 

上記で数字が先頭に付いているのが相手ホストからの返答に該当します。
上記の例では localhost に対して行いましたが、これは接続先が外の
smtp サーバであっても同様です。

この考え方ですと、単純に input チェインに smtp ポートのパケットを
全て reject/deny する、というルールを適用するだけでは、肝心の smtp
サーバからの返答が来ない、ということになりませんか?
--
♪そぉ〜っとぉ〜☆彡
松田 陽一(yoh)
mailto:yoh@xxxxxxxxxxxx
http://www2.palnet.or.jp/~matsuda/index.htm