On Sat, 05 Apr 2003 19:36:04 +0900
koyama <mlac@xxxxxxxxxxxx> wrote:
> iptables を利用していますが、FORWARD の設定に関して
> FORWARD とはどのようなものか今ひとつ理解できていません。
> 以下のスクリプトで /etc/init.d/iptables save して
> 再起動すると、思うように動作しないので、質問させて頂きました。
>
> 基本のポリシーを、DROP にした場合、nslookup が動作して
> いないので、DNS の部分がおかしいような気がします。
>
> FORWARD の設定をどのようにしたら良いのでしょうか?
FORWARD のポリシーが DROP なので、通したいものだけ、 -j ACCEPT を
書いてやることが必要です。
ipchains と異なり、iptables では FORWARD チェインは INPUT, OUTPUT
チェインとは独立していて、影響をうけません。INPUT/OUTPUT チェイン
は自ホストにのみ作用します。そこが iptables とは勝手が違うところで、
より合理的なルールが記述しやすくなっていますね。
例)
## 53(DNS) 外部の DNS サーバに通常の(ゾーン転送やforwardersではない)
## 問い合わせを許可する
/sbin/iptables -A FORWARD -p udp\
-i 内部インタフェース -s 内部ネットワーク --sport $UNPRIV_PORT\
-o 外部インタフェース -d 0/0 --dport 53\
-j ACCEPT
/sbin/iptables -A FORWARD -p udp\
-i 外部インタフェース -s 0/0 --sport 53\
-o 内部インタフェース -d 内部ネットワーク --dport $UNPRIV_PORT\
-j ACCEPT
--
kazz@xxxxxxxxxxxxxx / oosato@xxxxxxxxxxxxx / 大里和朗