IP マスカレ〖ドの肋年

[5.1] /etc/network/option の试礁

ip_forward=no

となっている婶尸を

ip_forward=yes

に今き垂える。

[5.2] /etc/hosts の试礁

柒婶ネットワ〖クでのDNSは、/etc/hosts ファイルの肋年によって疯められている。

/etc/hosts ファイルに

192.168.10.1 帬帬postel.ep.sci.hokudai.ac.jp 帬帬 postel

と今き哈み、IPアドレスとホスト叹の滦炳を今いておく。

[5.3] /etc/network/interfaces の肋年

もともと今いてあるものの布に笆布のものを裁える。

iface eth1 inet static

address 192.168.0.1 netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
geteway 133.87.45.1

up ipchains -P forward DENY
up ipchains -A forward -s 192.168.10.0/24 -j MASQ
up ipchains -M -S 21600 0 0
up /sbin/depmod -a
up /sbin/modprobe ip_masq_ftp

≈gateway 133.87.45.1 ∽ にはル〖タ∈この眷圭は postel ∷のゲ〖トウェイアドレスとおなじものを肋年する。

[5.4] ipchains 豺棱

ipchains は、ファイヤ〖ウォ〖ルを嘿かく肋年していくコマンドである。

[5.4.1] 肋年カテゴリ

まず、ipchains の肋年チェインは、笆布の3つにわけられる、

input	はいってくるパケットに滦するチェイン
output	でていくパケットに滦するチェイン
forward	ル〖ティングするパケットに滦するチェイン

称チェインのデフォルトは、ACCEPT(すなわち、すべて钓材)となっているので、これに惮扩をかけてファイヤ〖ウォ〖ルを菇蜜していく。海搀、postel はル〖タ〖であるため、ファイヤ〖フォ〖ルの肋年は、 forward のみ乖う。

[5.4.2] タ〖ゲット

ipchains でのタ〖ゲットは笆布の奶りである。

ACCEPT 奶慨を钓材

DENY 奶慨を稍钓材(流慨傅へ稍钓材を帕えない)

REJECT 奶慨を稍钓材(流慨傅へ稍钓材を帕える)

MASQ あたかもそのPCから券慨されたかのようにマスカ〖レ〖ドされる。减慨箕も极瓢弄にマスカ〖レ〖ドを嘲される。(input、outputでは蝗脱稍材)

REDIRET リモ〖トホスト案へ流慨されたパケットもロ〖カルのソケットへ羹ける。(output、forwardでは蝗脱稍材)

[5.4.3] 今及

ipchains での今及は肌のようになる

ipchains -A(--append) chain rule [option]

　チェインの呵稿萨にル〖ルを纳裁する

ipchains -D(--delete) chain rule(ruleNo.) [option]
　ル〖ルを猴近する

ipchains -R(--replace) chain ruleNo. rule [option]
　ル〖ルを弥き垂える

ipchains -I(--insert) chain ruleNo. rule [option]
　ル〖ル戎规を回年してル〖ルを纳裁する

ipchains -L(--list) chain [option]
　ル〖ル办枉を山绩する

ipchains -F(--flush) chain [option]
　ル〖ルをすべて久殿する

ipchains -Z(--zero) chain [opition]
　パケットカウンタ、バイトカウンタを0に介袋步する

ipchains -N(--new-chain) chain [option]
　糠たにチェインを年盗する

ipchains -x(--delete-chain) chain [option]
　ユ〖ザ〖が年盗チェインんを猴近する。

ipchains -P(--policy) target
　ポリシ〖を回年したタ〖ゲットに肋年する

ipchains -M(--masquerading) -L [option]
　マスカレ〖ドされている儡鲁を山绩する

ipchains -M(--masquerading) -S(--set tcp tcpfin udp) [option]
　マスカレ〖ドでのタイムアウト箕粗(擅)を肋年する。Oを掐れると恃构しない

ipchains -C(--check) chain rule [option]
　涂えられたパケットを救圭する

ipchains -h(--help)
　コマンド今及の棱汤を山绩する

ipchains -V(--version)
　ipchains のバ〖ジョン戎规を山绩する

[5.4.4] ル〖ル

奶慨のル〖ルは肌のように年める。

-s "券慨傅" -d "券慨黎" -j target

券慨傅、券慨黎は、笆布のように回年する

IPaddress[/mask] [port[:port]] (ex.192.168.0.1/24 80:80)

ただし、称パラメ〖タ〖の涟に"!"をつけるとそれ笆嘲のものを回年したことになる。また、すべてのIP アドレスやポ〖トを回年する眷圭は、そのパラメ〖タ〖を臼维して紊い。

[5.4.5] 海搀の肋年は?

ということで、やっと海搀の肋年。肋年箕に今いたのは笆布の话乖

up ipchains -P forward DENY
up ipchains -A forward -s 192.168.10.0/24 -j MASQ
up ipchains -M -S 21600 0 0

まず、办乖誊。

up ipchains -P forward DENY

これは、-P forward でル〖ティングするときのポリシ〖を疯めている。答塑弄にipchainsを脱いてファイヤ〖ウォ〖ルの嘿かい肋年を乖う眷圭は、ポリシ〖は DENY(奶慨を稍钓材) である。

デフォルトの肋年ではすべて ACCEPT となっているが、その觉轮から蝗わない奶慨を稍钓材にしていく侯度はミスを投いやすい。呵介にDENYで噬を侯り、そこに钓材していい奶慨のみの逢をあけるのである。

肌に、企乖誊。

up ipchains -A forward -s 192.168.10.0/24 -j MASQ

これは、-A forward で、ル〖ティングを钓材する奶慨を淡揭してある。

どのような奶慨を钓材しているのかというと、-s 192.168.10.0/24 -j MASQ より、"192.168.10.0/24 というIPアドレスから、すべてのIPアドレスへの奶慨をマスカレ〖ドする"ことである。

また、ポ〖ト戎规は臼维されているので、すべてのポ〖トの奶慨を钓材していることになる。

呵稿に、话乖誊。

up ipchains -M -S 21600 0 0

これは、-M -S で、呵稿に奶慨してから部擅稿に奶慨を儡鲁するかが淡してある。

これらの眶机は涟から、TCP儡鲁, 姜位奶梦(FINパケット)を减けたTCP儡鲁, UDP儡鲁で、デフォルトでは15尸, 2尸, 5尸となっている。TCP儡鲁の15尸では没いので、ここでは６箕粗にのばしている。

<< Cap.4 || UP || Cap.6 >>

last up : 2002/05/27 (C.Mitsuda)

ACCEPT	奶慨を钓材
DENY	奶慨を稍钓材(流慨傅へ稍钓材を帕えない)
REJECT	奶慨を稍钓材(流慨傅へ稍钓材を帕える)
MASQ	あたかもそのPCから券慨されたかのようにマスカ〖レ〖ドされる。减慨箕も极瓢弄にマスカ〖レ〖ドを嘲される。(input、outputでは蝗脱稍材)
REDIRET	リモ〖トホスト案へ流慨されたパケットもロ〖カルのソケットへ羹ける。(output、forwardでは蝗脱稍材)