[debian-users:24949] Re: ipchains のログ機能

[ikari <ikari@xxxxxxxxx>]

碇です。

> これは、 foo は
> /sbin/ipchains -N foo
> /sbin/ipchains -A input -i eth0 -j foo
> という定義が直前にある、と見て良いのですよね?

inputでログを取る場合には、Localからのアクセス制限をして、
それのコールバック以外をログに取るしか方法はないと思います。

それは、Linuxのパケットフィルタがレイヤ3〜5だからだと認識しています。
その為に、私はiploggerをいれています。
iploggerは純粋にlinuxBoxへの接続だけを見張っているので、kernelでIPマスカレード
をしてようが、LinuxBoxへのアクセスを区別できるのだと思っています。

私の予想では(あくまで予想であり、調べた訳ではありません)
iploggerにパケットが渡る前に、kernelの方でLocalへのコールバックの場合
アドレス変換をしてしまっているのではないかと予測しています。
その為、iploggerには純粋にLinuxBoxへのアクセスだけが記録されているのだと思いま
す。

> > > smtp に限らず、全ての通信は双方向である訳ですから、
> > >
> > > /sbin/ipchains -A hoge -p tcp -s 0/0 -d 外向けのIPアドレス smtp -j DENY
> > >
> > > とすることで、どうして外部からの接続要求と内部からの接続に対する
> > > 応答を区別できるのかが判らないのです。
> >
> > 　これは hoge が input である前提だからですよね。
> >
> > 　組み込みチェーンでは input、output、forward があります。
> >
> >            -----+
> >                 |----+--- input ----   <--- 入ってくるパケット
> >                 |    |
> >                 |    |
> >     Linux Box   | forward 中継するパケット
> >                 |    |
> >                 |    |
> >                 |----+--- output ---   ----> 出て行くパケット
> >            -----+
> >
> > という 3 種類の方向について ipchains コマンドで指定できます。
> > 　だから、-A オプション（または -I オプション）で input か output かを適
> > 切に指定してやれば、出て行くパケットを相手にするのか、入ってくるパケット
> > を相手にするのか指定できるわけです。
> 
> 判り難い書き方だったでしょうか…
> 
> 上記の図ですと、 input で入って来るパケットには、
> 
> ・よそ者が Linux Box に対して何らかの接続要求をするパケット
>   →外部からの接続要求
> 
> だけでなく、
> 
> ・Linux Box から特定のサイトへ何らかの通信を行った際に、特定のサイト
>   から帰って来る返答のパケット
>   →内部からの接続に対する応答
> 
> も含まれている、と思いませんか?

今私の所では、IPマスカレードをかけていない所でLinuxBoxを使おうとしてますが、
この場合ですと、Localからのコールバックとそうでないものの区別がついたりします。

kernel2.4が早く普及する事を祈りましょう。
2.4系ですと、松田さんの意図すろ事が可能になると思います。
パケットフィルタリングでありながらレイヤ7まで管理する事を目指しているのだと
思います。もしかしたら、ActiveXのカットとかできたりするかもしれないです。
firewall-1のステートフルインスペクションを模倣しようとしているのかな？

-- 
**************************************
    碇 永志  PCA(株) ikari@xxxxxxxxx
**************************************