大里 さん ご返答ありがとうございます。k7-koyama です。 > > > > 基本のポリシーを、DROP にした場合、nslookup が動作して > > いないので、DNS の部分がおかしいような気がします。 > > > > FORWARD の設定をどのようにしたら良いのでしょうか? > > FORWARD のポリシーが DROP なので、通したいものだけ、 -j ACCEPT を > 書いてやることが必要です。 > ipchains と異なり、iptables では FORWARD チェインは INPUT, OUTPUT > チェインとは独立していて、影響をうけません。INPUT/OUTPUT チェイン > は自ホストにのみ作用します。そこが iptables とは勝手が違うところで、 > より合理的なルールが記述しやすくなっていますね。 > > 例) > ## 53(DNS) 外部の DNS サーバに通常の(ゾーン転送やforwardersではない) > ## 問い合わせを許可する > /sbin/iptables -A FORWARD -p udp\ > -i 内部インタフェース -s 内部ネットワーク --sport $UNPRIV_PORT\ > -o 外部インタフェース -d 0/0 --dport 53\ > -j ACCEPT > /sbin/iptables -A FORWARD -p udp\ > -i 外部インタフェース -s 0/0 --sport 53\ > -o 内部インタフェース -d 内部ネットワーク --dport $UNPRIV_PORT\ > -j ACCEPT DNS サーバーは、iptables を動かしているサーバーで、プライマリー DNSサーバーを稼働しています。 本来であれば、nslookup が答えても良いと思うのですが、 やはり、外向けの eth1 だけではだめで、内向けの eth0 へ FORWARD しなければ、うまく起動しないのでしょうか? ちなみに、nslookup は、 この iptables を起動させているサーバーの root ユーザー でも 失敗しました。 -- koyama <mlac@xxxxxxxxxxxx>