vine-users ML アーカイブ



[vine-users:063345] Re: Iptables でルータを作成したときの OUT が ppp0 は正常?

  • From: ura <ura@xxxxxxxxxxxxxxxxx>
  • Subject: [vine-users:063345] Re: Iptables でルータを作成したときの OUT が ppp0 は正常?
  • Date: Sat, 06 Dec 2003 13:13:05 +0900
お世話になります。
うらです。

>並さん
ご回答ありがとうございます。
並さんの事務所でも-o ppp0とされているのですね?
SNATはDMZを作ったりしたときにDMZ内の各サーバとルータを繋ぐのに指定するものだと
そう固定的に思ってしまっていた認識が間違っているのですね?
ゆくゆくは複数固定IPを取得してNIC3枚挿しのルータを作ってみたいとは考えています
(現段階ではどのように指定して結び付けていってやれば良いのかもわかってないのですが…)

iptables -t nat -A POSTROUTING -o ppp0
    -s 192.168.0.0/24 -j SNAT --to-source 111.222.333.444
マスカレードだと192.168.0.0/24から来たものは単純にppp0へ出入りするものはOKという指定の方法だったのが
192.168.0.0/24から入ってきてパケットはppp0の111.222.333.444で外へ流しちゃよっていう
出口側のIPの明示的指定だと思ったら良いのでしょうか?
そうするとDMZを作るときは
server01は
iptables -t nat -A POSTROUTING -o ppp0
    -s 192.168.0.2/32 -j SNAT --to-source 111.222.333.445
server02は
iptables -t nat -A POSTROUTING -o ppp0
    -s 192.168.0.3/32 -j SNAT --to-source 111.222.333.446
などと指定していってやれば良いのでしょうか?
でもこの場合ってppp0はPPPoEを使った接続であり固定IPはひとつしか振れませんよね?
NIC1枚に複数のIPを振ることが出来るとどこかで聞いた事があるのですが
そういう技術を使ってeth0に複数のIPを指定してやれば良いのでしょうか?
ところで、どうしてインターネットへの接続はeth0ではなくppp0になってしまうのでしょうか?
eth0に複数の固定IPを振ってやるようになったらppp0からじゃないと
インターネットへ繋がらないのは問題があるんじゃないかと思うのですが。
(ppp0はPPPoEで接続したときに作成される一時的論理デバイスだと思えば良いのでしょうか?)

色々と重ねて質問してしまっていてすみません。
質問2のwebminですが
僕もwebminはなるべく使わずktermなどからCUI操作で各種設定が出来るようになろうと勉強してます。
unix系の操作を覚えたいというのが狙いです
webminを最初に使ったのはとりあえず手っ取り早くセキュリティを確保してから色々いじりたいなと思ったからでした。
質問させて頂いている理由は後で新しくLinuxをはじめてwebminでIptablesFireWallを使った人が僕と同じ疑問に
ぶつかった時に過去ログ等を検索して安心出来る材料を残せたら良いなと思ったからです。
それに、もしかしたら/tec/sysconfig/iptablesにルールが追加されていないのはバグやったんやろうかという心配もあります…。


質問3に関してはデフォルトポリシーがACCEPTであっても
閉じる穴をきちんと閉じていたらセキュリティ的には問題ないよと
そういう解釈で宜しいでしょうか?
自分のサーバにポートスキャンをかけられるサイトで見たりしたところほとんどのポートはデフォルトで塞がっていたので
少し安心していたのですがそれで良いものなのかどうなんやろうとそれも悩んでいました。

僕的には不要なポートは閉じて、必要なポートもそこを使うサーバデーモンのバージョンや
セキュリティホールの情報を確保するのが少しでも安全に運用していく第一歩なのかなと勝手に思っています。



>田淵さん
Linux magazine の2003 12月号、もう週明けには2004/01号が出ちゃうから
この週末になんとか本屋さんへ行かないといけないってことですね。
ちょっとスケジュールが詰まっているのですが、なんとか本屋さんへ行ってみたいと思います
情報ありがとうございます。


-- 
ura <ura@xxxxxxxxxxxxxxxxx>