[debian-users:39845] 監視NIC付き透過型FWの設定について

[Kiyotaka ATSUMI <kiyotaka@xxxxxxxxx>]

渥美です．

# もう一つ教えて君です．

Debian Sargeの環境で，透過型FWを実現させようとしています．実験環境として
以下のような構成をとっています．

              br0(192.168.100.201)
192.168.1.0/24 +--------+       +------------+
---------------+透過型FW+--+----+実験用Client|
               +---+----+  |    +------------+
eth2(192.168.1.201)|       |     192.168.1.36
                   +-------+

br0はeth0とeth1をブリッジ構成しています．またeth2は透過型FWの監視用とし
て将来上記のセグメントとは別のセグメントを割り当てることを予定しています．
br0に192.168.100.201を割り当てるのは，変なルーティングを避けるために，と
りあえず設定した値です．

それで，何が質問したいかと言いますと，以下のiptablesの定義で，

pearl:~# iptables -t nat -L (一部省略)
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
gray       tcp  --  anywhere             topaz.ipc.shizuoka.ac.jp tcp dpt:smtp 

Chain gray (1 references)
target     prot opt source               destination         
graylog    all  --  192.168.1.36         anywhere            
RETURN     all  --  anywhere             anywhere            

Chain graylog (0 references)
target     prot opt source               destination         
DNAT       tcp  --  anywhere             anywhere           to:127.0.0.1:10025

このとき，実験用ClientからFWよりも外側にtcp any:25へアクセスしようとした
ときに，FWのlocalhostに立てたhoneypotにリダイレクト(DNAT)して欲しいので
すが，syslogによると，

Mar  8 19:40:31 pearl kernel: Performing cross-bridge DNAT requires IP forwarding to be enabled

と言われてしまいます．もちろん，

pearl:/etc/network# cat /etc/network/options 
ip_forward=yes
spoofprotect=yes
syncookies=no

としてあり，

pearl:/etc/network# cat /proc/sys/net/ipv4/ip_forward 
1

も確認しました．私の何処に誤りがあるのか，または，そもそもこんなことは出
来ないのかご指摘いただければ幸いです．

--
静岡大学総合情報処理センター 渥美清隆
  2004年03月08日現在のロードアベレージ 23 Jobs
  あなたの投入Jobは 86 業務時間後に実行されます．