[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:03402] Re: Biz ADSL8 で LinuxBox をRouterとするときの設定について

 かかいです。

Tue, 03 Jul 2001 14:49:41 +0900 に
Seiichi Nakashima <nakasei@xxxxxxxxxxxx> さんは書きました:

> 中島です。
> 
> HIRAMOTO Kouji さんは書きました:
> >平本です。
> >
> >  私も RTシリーズから Linux + PPPoE + iptables に切り替えたクチで
> >すが、少なくとも「デフォルトが deny で、必要なポートのみ allow」と
> >いうポリシーでいくのならば、RTのルールを iptables で置き換えていく
> >のは単純作業でした。ipchains でも同じじゃないですかね。
> 
> 
> Forward Default Deny の設定にして、必要なPortをAllowにすることで基本的には
> 良いと思いますが、IP-addressの偽造に備えて、絶対来ないIP-addressから
> のパケットを明示的にInput Denyにすると更に良いと考えます。
> Input Denyの対象は、WAN側からのInputでSource IP addressが
> 自分がDHCPから受け取ったIPやPrivate IP-address等の使えないIPが対象です。

 済みません、私の勉強モードになってしまいますが、中島さんの設定でいうと、

.Input DefaultはACCEPT
.Forward DefaultはDENY

 というポリシーで、

.Input chainには来るはずの無いパケットをDENYしていく方向で設定。
  ex)ppp0に入ってくるものでSourceIPAddressがPrivateだったり、自分の
     NetworkAddressなパケット。-> DENY
     あと、DistinationIPAddressがNetwork or BroadcastAddressなパケット
     -> DENY

 それ以外のパケットはACCEPT -> Forward chainへ


.Forward chainは許可されたパケットのみACCEPTしていく方向で設定。
  ex)EstablishedされたTCPパケットや、公開しているサーバアプリのポート。
     -> ACCEPT

 それ以外のパケット -> DENY

 という設定ですよね。

 先週、色々試していたときはinput default DENYにして、全てinput chain上に
フィルタリング設定をしていたのですが、eth0からのパケットをACCEPTにしてい
なかったばっかりに他のPCからLinuxBoxへの接続が切られてしまいました。(^^;

 牛歩ながら少しづつ光明が見えてきました。
 もうちょっとがんばってみようと思います。

※あと付け足すとしたらppp0のoutputに137:139と445のポートを使うパケットを
  DENYにする設定ですね。 < フィルタ内容


--
----
抱井 将哉
E-mail:dist@xxxxxxxxx
----
--


------------------------------------------------------------------------
            まだいる? 梅雨前線。            
      http://tenki.infoseek.co.jp/gms_b.html?svx=971122