お世話になります。
うらと申します。
VineLinux V2.6r3rc2 にapt-getを適用しながら勉強しています。
Iptablesでルールを作ってVineをルータにする事には成功したのですが
疑問が生まれました。
3点程教えていただきたい事があります。
環境
+----------+
| Linux |
Internet ---------- eth0 eth1 -------- Local Net
111.222.333.444 192.168.0.1
| |
+----------+
疑問1
固定IPをひとつ取得してADSLでインターネットへ繋いでいるのですが
ルータを機能を持たせる為にWebで色々と情報収集をしていましたら
↑のような構成のときには
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
とすれば良いとあちこちのサイトに書かれていたのですが
それでは上手くいきませんでした。
そこで
/sbin/iptables -A FORWARD -i eth1 -j LOG
として/var/log/messageを見ていたところ
…IN=eth1 OUT=ppp0…
とあったので
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
としたところうまくローカルネットからインターネットへ繋がるようになりました。
ifconfigを見ているとppp0はADSLでインターネットへ繋いでいるときのみ現れています。
この状態とIPマスカレードの指定方法は正しいのでしょうか?
eth0ではなくppp0としていて大丈夫なのかが不安です。
疑問2
はじめはwebminのネットワークタブからIptablesFireWallで
ExternalDevice=eth0
InternalDevice=eth1
OperationMode=Newbie
TypeFireWall=Router
Newbieのレベル=high
と設定していたのですが/etc/sysconfig/iptablesの中に何もルールが記入されていなくて
ローカルネットからインターネットへも接続出来ず
それが心配で勉強も兼ねてコマンドラインから設定してみる事にしました。
webminで設定していた場合は/etc/sysconfig/iptablesにルールが何も無くても正常だったのでしょうか?
(今webminを見てみるとIptablesFireWallのアイコンが消えてました…)
疑問3
現在FORWARDのポリシーをDROPとしローカルネットから使用するポートのみ
/sbin/iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
等として穴を開けてみました
INPUTとOUTPUTはACCEPTの状態です。
webで情報収集をしていたときにINPUTとOUTPUTもDROPとするという設定を何ヶ所かで見かけたのですが
(何も書かれていないサイトやINPUTとOUTPUTはACCEPTのままというサイトもありました)
そうするとルータになっているVineLinuxからブラウザを通してのインターネットへの操作が何も出来なくなりました。
これもINPUTとOUTPUT両方にFORWARDと同じ方法で必要なポート(例えば22や80)を順に開けていってやれば良いのでしょうか?
このMLの過去ログからセキュリティ的にはINPUTとOUTPUTがACCEPTなのは危険かと思いこれも質問させて頂きました。
開けるポートは21 22 25 53 80 110 443 10000を考えています。他に開けておいた方が良いポートはあるでしょうか?
このルータは順次設定していきWWW、MAIL、DNS、FTPのサーバとしていく予定です。
以上、長くなりましたがよろしくお願い致します。
--
ura <ura@xxxxxxxxxxxxxxxxx>