2.6を利用してファイアウォールを設定しています。 以下の様なスクリプトを作成して利用していますが、LAN内部からは問題なくア クセスでき、 外部からの遮断もうまくいっているようですが、肝心のマシンから直接ftpやntp が外に出て行けません。 OUTPUTも設定してみましたがだめでした。何かヒントでもいただければ幸いで す。 iptablesのメモ (www,geocities.co.jp/SilliconValley-BAy/9678/iptables.htmlを参考に作成 しました) #!/bin/sh # ipfilter # Written by H.Yamada since 2002/09/11- # ver 0.02 2002/09/21 for windows update # ver 0.03 2002/09/22 for video streaming # 2002/12/01 New server用に作成 # global variance # ※※ これを適切に変更してね # LOCALNET='192.168.1.0/24' ## #モジュールをロード echo "IP-masq Starting..." /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp ### IPフォーワーディングを有効にする echo 1 > /proc/sys/net/ipv4/ip_forward # # clear rules # /sbin/iptables -F INPUT /sbin/iptables -F FORWARD /sbin/iptables -F OUTPUT # # set default policy -- all drop(reject) # /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT DROP # # for loopback (ローカルホスト自身の設定) # 自分自身は許可(ACCEPT) # /sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT /sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT # # for localnet (ローカルネット) # eth1(内部)からのアクセスはすべて許可(ACCEPT) # /sbin/iptables -A INPUT -i eth1 -s $LOCALNET -j ACCEPT /sbin/iptables -A OUTPUT -o eth1 -d $LOCALNET -j ACCEPT # # reply # 接続が確立したパケットの応答は許可(ACCEPT) # /sbin/iptables -A INPUT -m state --state ESTABLISH,RELATED -j ACCEPT # # for dns # dns の問い合わせは許可(ACCEPT) # /sbin/iptables -A INPUT -p udp --sport 53 -j ACCEPT /sbin/iptables -A OUTPUT -p udp --dport 53 -j ACCEPT # # NAT & FORWARD # # # for masquerade # IP マスカレードの定義 # /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # # for establish # 接続が確立したパケットは許可 # /sbin/iptables -A FORWARD -m state --state ESTABLISH,RELATED -j ACCEPT # # for ping # 外部への ping は許可(ACCEPT) # /sbin/iptables -A FORWARD -i eth1 -p icmp -j ACCEPT /sbin/iptables -A INPUT -i eth0 -p icmp -j ACCEPT # # for DNS # DNS の問い合わせは許可(ACCEPT) # /sbin/iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT # # for www # www の閲覧も許可(ACCEPT) # /sbin/iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT # # for ssh # ssh で外部への接続を許可(ACCEPT) # /sbin/iptables -A FORWARD -i eth1 -p tcp --dport 22 -j ACCEPT # # for POP # メールの受信許可 # /sbin/iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT # # for SMTP # メールの送信許可 # /sbin/iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT # # for ftp # ftp で外部への接続を許可 # /sbin/iptables -A FORWARD -i eth1 -p tcp --dport 20:21 -j ACCEPT /sbin/iptables -A INPUT -i eth0 -p tcp --dport 20:21 -j ACCEPT /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 20:21 -j ACCEPT # # for Windows Update # 443 を開けないと Windows Update ができない # /sbin/iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT # # for ntpdate # ntpdate による時刻合わせを許可 # /sbin/iptables -A FORWARD -i eth1 -p udp --dport 123 -j ACCEPT /sbin/iptables -A INPUT -i eth0 -p udp --dport 123 -j ACCEPT /sbin/iptables -A OUTPUT -o eth0 -p udp --dport 123 -j ACCEPT # # for realplayer # 554 を開けないと realplayer の再生ができない # /sbin/iptables -A FORWARD -i eth1 -p tcp --dport 554 -j ACCEPT # # for log # うまくサービスが動作しない時には、下のコメントを外し、 # /var/log/messages を見る # #/sbin/iptables -A FORWARD -i eth1 -j LOG # # for iptables-save ※※ 追加 ※※ # iptables の設定を /etc/sysconfig/iptalbes に保存 # /sbin/iptables-save > /etc/sysconfig/iptable -- Hiroyuki Tadokoro 田所 裕之 hiroyuki@xxxxxxxxxxxxxxxxxxxxxxxxxxx