[centos-users 1464] Re: ネットに繋がる iptables の設定方法で悩んでいます

"[ACT]山口" tyamaguchi @ system-act.com
2011年 2月 8日 (火) 23:18:10 JST


System House ACT 山口です。

> また、どのような部分を見れば自分がやるべき事が見えてくるのでしょうか?

ログは情報の宝庫です。

> kernel: [iptables_DROP]IN= OUT=eth0 SRC=aaa.bbb.ccc.ddd DST=aaa.bbb.ccc.eee
> LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=
> 12345 DF PRO      1 TO=UDP SPT=35986 DPT=53 LEN=43 
> のような記述で自分には意味が分かりませんでした。

意味が分かりませんというのではなく、分かるようになりましょう。

OUT=eth0 で eth0 への OUTPUT ルール
TO=UDP で udp プロトコル
DPT=53 で port 53 宛

というのは、見ただけで分かります。
であれば、

OUTPUT -p udp --dport 53

が DROP されているということも分かるはずです。
定義をみると確かに、このルールは ACCEPT になっていません。

さて、udp の port 53 というのは、ちょっとインターネットで調べれば
DNS 問い合わせであることが分かります。

つまり、http://www.example.com/ とブラウザから接続しようとして、
www.example.com の IP アドレスを外部の DNS サーバーに問い合わせよう
としたところ、iptables で拒否されてできなかったため、ブラウザから
www.example.com へ接続できなかったということになります。

ちょっと厳しいことを言いますが、意味が分かりませんではなく、
分かろうとしていないだけだと思えてなりません。



centos-users メーリングリストの案内