[vine-users:056708] iptable を設定したマシンからネットワークに出て行けません。

From: Hiroyuki Tadokoro <hiroyuki@xxxxxxxxxxxxxxxxxxxxxxxxxxx>
Subject: [vine-users:056708] iptable を設定したマシンからネットワークに出て行けません。
Date: Fri, 06 Dec 2002 23:07:19 +0900

2.6を利用してファイアウォールを設定しています。
以下の様なスクリプトを作成して利用していますが、LAN内部からは問題なくア
クセスでき、
外部からの遮断もうまくいっているようですが、肝心のマシンから直接ftpやntp
が外に出て行けません。
OUTPUTも設定してみましたがだめでした。何かヒントでもいただければ幸いで
す。

iptablesのメモ
（www,geocities.co.jp/SilliconValley-BAy/9678/iptables.htmlを参考に作成
しました）

#!/bin/sh
# ipfilter
# Written by H.Yamada since 2002/09/11-
# ver 0.02 2002/09/21 for windows update
# ver 0.03 2002/09/22 for video streaming
# 2002/12/01 New server用に作成

# global variance
#    ※※ これを適切に変更してね
#
LOCALNET='192.168.1.0/24'

## #モジュールをロード
echo "IP-masq Starting..."
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp

### IPフォーワーディングを有効にする
echo  1 > /proc/sys/net/ipv4/ip_forward

#
# clear rules
#
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT
#
# set default policy -- all drop(reject)
#
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP

#
# for loopback (ローカルホスト自身の設定)
#    自分自身は許可(ACCEPT)
#
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

#
# for localnet (ローカルネット)
#    eth1(内部)からのアクセスはすべて許可(ACCEPT)
#
/sbin/iptables -A INPUT -i eth1 -s $LOCALNET -j ACCEPT
/sbin/iptables -A OUTPUT -o eth1 -d $LOCALNET -j ACCEPT

#
# reply
# 接続が確立したパケットの応答は許可(ACCEPT)
#
/sbin/iptables -A INPUT -m state --state ESTABLISH,RELATED -j ACCEPT

#
# for dns
#     dns の問い合わせは許可(ACCEPT)
#
/sbin/iptables -A INPUT -p udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

#
# NAT & FORWARD
#
#
# for masquerade
#     IP マスカレードの定義
#
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#
# for establish
#     接続が確立したパケットは許可
#
/sbin/iptables -A FORWARD -m state --state ESTABLISH,RELATED -j ACCEPT

#
# for ping
#     外部への ping は許可(ACCEPT)
#
/sbin/iptables -A FORWARD -i eth1 -p icmp -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -j ACCEPT

#
# for DNS
#     DNS の問い合わせは許可(ACCEPT)
#
/sbin/iptables -A FORWARD  -i eth1 -p udp --dport 53  -j ACCEPT

#
# for www
#     www の閲覧も許可(ACCEPT)
#
/sbin/iptables -A FORWARD  -i eth1 -p tcp --dport 80  -j ACCEPT

#
# for ssh
#     ssh で外部への接続を許可(ACCEPT)
#
/sbin/iptables -A FORWARD  -i eth1 -p tcp --dport 22  -j ACCEPT

#
# for POP
#     メールの受信許可
#
/sbin/iptables -A FORWARD  -i eth1 -p tcp --dport 110 -j ACCEPT

#
# for SMTP
#     メールの送信許可
#
/sbin/iptables -A FORWARD  -i eth1 -p tcp --dport 25  -j ACCEPT

#
# for ftp
#     ftp で外部への接続を許可
#
/sbin/iptables -A FORWARD  -i eth1 -p tcp --dport 20:21  -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 20:21 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 20:21 -j ACCEPT

#
# for Windows Update
#     443 を開けないと Windows Update ができない
#
/sbin/iptables -A FORWARD  -i eth1 -p tcp --dport 443  -j ACCEPT

#
# for ntpdate
#     ntpdate による時刻合わせを許可
#
/sbin/iptables -A FORWARD  -i eth1 -p udp --dport 123  -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp --dport 123 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p udp --dport 123 -j ACCEPT

#
# for realplayer
#     554 を開けないと realplayer の再生ができない
#
/sbin/iptables -A FORWARD  -i eth1 -p tcp --dport 554  -j ACCEPT

#
# for log
#     うまくサービスが動作しない時には、下のコメントを外し、
#     /var/log/messages を見る
#
#/sbin/iptables -A FORWARD  -i eth1 -j LOG

#
# for iptables-save  ※※ 追加 ※※
#     iptables の設定を /etc/sysconfig/iptalbes に保存
#
/sbin/iptables-save > /etc/sysconfig/iptable

--
Hiroyuki Tadokoro
田所　裕之

hiroyuki@xxxxxxxxxxxxxxxxxxxxxxxxxxx

vine-users ML アーカイブ

[vine-users:056708] iptable を設定したマシンから ネットワークに出て行けません。

[vine-users:056708] iptable を設定したマシンからネットワークに出て行けません。