[centos-users 1462] ネットに繋がる iptables の設定方法で悩んでいます

yk_mailing @ yahoo.co.jp yk_mailing @ yahoo.co.jp
2011年 2月 8日 (火) 12:07:54 JST


現在、プロバイダからのモデム→ハブ→パソコンでやっています。
このパソコンの上にルータやサーバ用途として別のパソコンを使ってもいません
。
で、iptablesの勉強をしているのですが分からないことがあるので質問させてく
ださい。

実現したい事
・ブラウザからネットに繋ぎたい
・練習の為まず全てDROPから始めたい

#! /bin/bash
myhost='aaa.bbb.ccc.ddd' (←ifconfigのinet addrの値を入れています)
any='0.0.0.0/0'
iptables='/sbin/iptables'
$iptables -F
$iptables -Z
$iptables -X

$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP

$iptables -A INPUT -i lo -j ACCEPT
$iptables -A OUTPUT -o lo -j ACCEPT
#$iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

$iptables -A INPUT -m state --state NEW -p tcp -s $any -d $myhost --dport
80 -j ACCEPT
$iptables -A OUTPUT -p tcp -s $myhost -d $any --sport 80 -j ACCEPT

$iptables -A INPUT -m state --state NEW -p tcp -s $any -d $myhost --dport
53 -j ACCEPT
$iptables -A OUTPUT -p tcp -s $myhost -d $any --dport 53 -j ACCEPT
$iptables -A INPUT -p udp -s $any -d $myhost --dport 53 -j ACCEPT
$iptables -A OUTPUT -p udp -s $myhost -d $any --sport 53 -j ACCEPT

$iptables -N LOGGING
$iptables -A LOGGING -j LOG --log-level warning --log-prefix
"[iptables_DROP]" -m limit
$iptables -A LOGGING -j DROP
$iptables -A INPUT -j LOGGING
$iptables -A OUTPUT -j LOGGING

としました(コメントアウトされているものは付けたり外したりしています)が
、ネットに繋ぐとエラーになります。
IPアドレスが動的なのでダメなのかと思い、$myhostを-s、-dで消したり、INPUT
の「-m state --state NEW」を消したり色々としたのですがやはり駄目でした。

ログを見ても、
kernel: [iptables_DROP]IN= OUT=eth0 SRC=aaa.bbb.ccc.ddd DST=aaa.bbb.ccc.eee
LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=
12345 DF PRO      1 TO=UDP SPT=35986 DPT=53 LEN=43 
のような記述で自分には意味が分かりませんでした。

使い方を良く分かっていないのですが、nmapを「nmap -sT -sU aaa.bbb.ccc.ddd
」で使用した結果です。
Not shown: 1994 closed ports
PORT     STATE         SERVICE
22/tcp   open          ssh
111/tcp  open          rpcbind
68/udp   open|filtered dhcpc
111/udp  open          rpcbind
123/udp  open          ntp
5353/udp open|filtered zeroconf
この結果はiptablesを実行した後と前で変化はありませんでした。

後、上記iptablesを実行した後、初期化するために、
$iptables -F
$iptables -Z
$iptables -X
$iptables -P INPUT ACCEPT
$iptables -P OUTPUT ACCEPT
$iptables -P FORWARD ACCEPT
を行っています。
この後にはまたインターネットに繋がります。

自分には、上記設定のどこかが間違ってるのか、80、53ポート以外他にどこか開
けなきゃいけないのか、ネットに繋ぐためにはそもそもDROPでは不可能なのかと
かが分かりません。
一度、OUTPUTをACCESSから始めて同様に失敗した事もあります。
INPUT、OUTPUT、FORWARDをDROP後に外部インターネットと繋ぐためにはどのよう
な設定を記述しなければいけないのでしょうか?
また、どのような部分を見れば自分がやるべき事が見えてくるのでしょうか?



--------------------------------------
Get the new Internet Explorer 8 optimized for Yahoo! JAPAN
http://pr.mail.yahoo.co.jp/ie8/


centos-users メーリングリストの案内