[vine-users:058244] Re: iptables で、しばしば接続が途切れます

[Hirohisa Kobayashi <hk-ml@xxxxxxxxxxxxxxxxx>]

小林です。早速のお返事感謝いたします。
返答が遅くなり申し訳ないです。おっしゃられる部分を試していました。

> どこを変えたか思い出せれば、一件落着なんでしょうけどね:-)
> 
おっしゃるとおりです。
何度も何度も書き直してしまい、わからなくなってしまいました。
しかし、"-i eth1"はなかったと記憶しています。

> 一部抜粋となっていますが、これ以外の設定があるけど省略していると
> いうことでしょうか？
> 
> ポリシーの設定 ( iptables -P ) がどうなっているかで、上記にマッチ
> しないパケットが発生した場合の挙動が異なってきますので、できれば
> iptables -L -n -v の結果を貼り付けるほうがわかりやすいと思います。
> 
はい、長くなると思い、省略してしまいましたが、
重要な部分を省いてしまい申し訳ございませんでした。
下記の通りです。DNSやSMTP等の部分は省いています。
-----------------< new_iptables.sh start >-------------------------
MYHOST='192.168.1.5'
LOCALNET='192.168.1.0/24'

# ルール全部削除
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT

# 全てのパケット拒否
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP

# ループバック許可
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

# ping許可
/sbin/iptables -A OUTPUT -p icmp -s $MYHOST -d $LOCALNET --icmp-type 8 -j ACCEPT
/sbin/iptables -A INPUT -p icmp -s $LOCALNET -d $MYHOST --icmp-type 0 -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -s $MYHOST -d $LOCALNET --icmp-type 0  -j ACCEPT
/sbin/iptables -A INPUT -p icmp -s $LOCALNET -d $MYHOST --icmp-type 8 -j ACCEPT

# http
/sbin/iptables -A INPUT -p tcp -s $LOCALNET --destination-port 80 -d $MYHOST -i eth1 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --source-port 80 -s $MYHOST -d $LOCALNET -o eth1 -j ACCEPT
# FTP
/sbin/iptables -A INPUT -p tcp -s $LOCALNET --destination-port 21 -d $MYHOST -i eth1 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --source-port 21 -s $MYHOST -d $LOCALNET -o eth1 -j ACCEPT
# POP3
/sbin/iptables -A INPUT -p tcp -s $LOCALNET --destination-port 110 -d $MYHOST -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --source-port 110 -s $MYHOST -d $LOCALNET -j ACCEPT

------------------------< new_iptables.sh end >--------------------------

> 反対にポリシーがデフォルト
> DROP/REJECT になっている場合、上記のルールだけでは arp などが通ら
> なくなり、いろんな障害が起こるかもしれません。
> 
arpというのは存じませんでした。これから調べたいと思います。
この部分が原因でしょうか？

> とりあえず、まずはデフォルトすべて許可にしておいて、
> 
> > httpとFTPはLAN内からしか必要ありませんので、
> > できるだけ"-i eth1"は指定したいです。
> 
> というような要件がある場合は「eth0 からのパケットは、必要なもの
> 以外落とす」ような記述をしてみたらいかがでしょうか。
> 
やってみました。eth0はグローバルIPなので設定は変えず、
eth1は全て許可としてみたところ、問題は発生しませんでした。

> また、inetd 経由で http サービスをしているのであれば、inetd の
> 仕様で一定時間（一分間）にアクセスできる最大接続数の制限があった
> かと思いますので、man inetd も参考にしてください。これで引っかか
> っている場合は、/var/log/{messages,secure} あたりに何か出ている
> かもしれません。
>
最大接続数があると走りませんでした。
教えていただいたログを調べて限りではそれらしいものは見つかりませんでした。