[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:37670] Re: 一方通行のさせかた (インターネットへのnatもある)

From: Tatsuki Sugiura <sugi@xxxxxxxxxxxxxxxxxxxxxxxxxxx>
Subject: [debian-users:37670] Re: 一方通行のさせかた (インターネットへのnatもある)
Date: Sat, 12 Jul 2003 23:31:17 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-face: %#SbsX5Ajq`)JKPGXyq8Cn6"<`&M~n\?,}`vYU7[}gM!q_K=\v6[}y8&R:Dy3O0Ymmw$@>T $Ys$^Tw8ghB'uxX)I(n_x\5RQ|s'D0m$,"I^\S
X-gpg-fingerprint: C4BC EDCC 50B2 2D7B 4A85 4A13 6CAD 85CE 4502 FDC2
X-gpg-keyid: 4502FDC2
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-moe: Vampire/lilith
X-public-key: http://pgp.nic.ad.jp:11371/pks/lookup?op=get&search=0x4502FDC2
X-spam-level:
X-spam-status: No, hits=-2.7 required=10.0 tests=ISO2022JP_BODY,QUOTED_EMAIL_TEXT,SIGNATURE_SHORT_DENSE, SPAM_PHRASE_00_01 version=2.44
References: <20030712202418.5b9d6933.okou@xxxxxxxxxxxxxxxxx>
Message-id: <87el0v24wf.wl@xxxxxxxxxxxxxxxxx>
X-mail-count: 37670
User-agent: Wanderlust/2.11.3 (Wonderwall) SEMI/1.14.5 (Awara-Onsen) FLIM/1.14.5 (Demachiyanagi) APEL/10.6 Emacs/21.3 (i386-pc-linux-gnu) MULE/5.0 (賢木)

杉浦です。
なんか色々気になるんですがまあとにかく主題だけいきます。

>>> In Message "[debian-users:37668] 一方通行のさせかた (インターネットへのnatもある)"
>>>            <20030712202418.5b9d6933.okou@xxxxxxxxxxxxxxxxx>,
>>> あさひ <okou@xxxxxxxxxxxxxxxxx>  said;
>  192.168.72.131(winPC)から 192.168.72.203(winPC)は見れないが
>  192.168.72.203(winPC)から 192.168.72.131(winPC)は見れると
>  したいんです
 
>  つまり
>  > 今回の目的は見えないようにすることでしょうか？
>  はい、その通りです

        the Internet
             |
       [Debian/sarge]
             |
 [Win1]------+------[Win2]
 (131)              (203)

今こうなっていて(Hub とか NAT Brigdge は無視) 、

Win1    -> Win2     : ×
Win1    -> Debian   : ○
Win1    -> Internet : ○
Win2    -> Win1     : ○
Win2    -> Debian   : ○
Win2    -> Internet : ○

こうしたいと言うことで良いですか？

>  すると、一番普通の考え方は NICを３枚にすることでしょうか

はい。

>  fletz ISDN
>   |
>   router
>   NIC 192.168.1.50
>   |
>   eth0 192.168.1.250
>   sarge eth2 192.168.33.250 -----192.168.33.131(winPC)
>   eth1 192.168.72.250/24
>   |
>   HUBーー192.168.72.203(winPC)
 
>  NIC ３枚ははじめてです
<Snip...>
>  NICの３枚の適当なURLあればお教え下さい

基本的に iptables が分かってれば、２枚も３枚も（ルールの量が増えるだけで）
変わらないです。なので URL を上げるとしても……

* iptables manpage
  http://www.linux.or.jp/JM/html/iptables/man8/iptables.8.html
* Linux 2.4 NAT HOWTO
  http://www.linux.or.jp/JF/JFdocs/NAT-HOWTO.txt
* Linux 2.4 Packet Filtering HOWTO
  http://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO.txt
* 第4回　Linuxで作るファイアウォール［NAT設定編］
  http://www.atmarkit.co.jp/flinux/rensai/security04/security04a.html

あと、参考になるのは iptables のルールを自動生成するようなスクリプトの
中身を読むことでしょうか。ipmasq パッケージとかがあったように思います。


これだけではなんなので、一方通行にするためのポイントだけ書いておきます。

  * 中継するかどうかは FORWARD チェインを使って指定する
  * -i, -o でデバイスをちゃんとしているする事
  * TCP の戻りバケットを通すためには -m state --state ESTABLISHED,RELATED
    が使える

実際のコマンドで書くと

iptables -A FORWARD -i eth2 -o eth1 -s 192.168.33.0/24 -d 192.168.72.0/24 \
 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -s 192.168.33.0/24 -d 192.168.72.0/24 \
 -j REJECT

みたいな感じでしょうか。
# ちゃんとテストできる環境が無いのでもしかしたら間違ってるかもしれません

POLICY が全部 ACCEPT なら上の２行と MASQUERADE のルールだけで、まあとりあえず
動くかと思います。




###
余談：

本当にちゃんとした firewall として使うなら、POLICY を DROP にして
通す物を全部書くべきだよねとか、Ingress Filtering もすべきだよねとか
色々あるんですが。それはまた後の話……
* Ingress Filterling
  http://www.ipa.go.jp/security/rfc/RFC2827JA.html

-- 
Tatsuki Sugiura   mailto:sugi@xxxxxxxxxxxxxxxxxxxxxxxxxxx

Follow-Ups:
- [debian-users:37735] Re: 一方通行のさせかた (インターネットへのnatもある)
  - From: あさひ

References:
- [debian-users:37668] 一方通行のさせかた (インターネットへのnatもある)
  - From: あさひ

Prev by Date: [debian-users:37669] Re: 突然、ネットサーフィン出来なくなりました。
Next by Date: [debian-users:37671] Re: 突然、ネットサーフィン出来なくなりました。
Previous by thread: [debian-users:37668] 一方通行のさせかた (インターネットへのnatもある)
Next by thread: [debian-users:37735] Re: 一方通行のさせかた (インターネットへのnatもある)
Index(es):
- Date
- Thread