vine-users ML アーカイブ



[vine-users:063490] iptables の設定法について

  • From: Futoshi Tanaka <haw19070@xxxxxxxxxxxxxx>
  • Subject: [vine-users:063490] iptables の設定法について
  • Date: Tue, 16 Dec 2003 16:45:12 +0900
 初めまして.Tanakaと申します.早速質問させていただきたいと思いますが.
現在,私はglobalとprivateが混在した状態でのファイルサーバーを
作成しておりまして,そのFirewallの設定で躓いています.基本的には
,
  (1) sshによる外部からのアクセスを可能にする.
  (2) aptでアップデートを行う.
  (3) ntpにより本体の時刻あわせを行う.
  (4) Global 及び Private Network (ともに一組織内) から,Mac,Winの両方から
    アクセスできるファイルサーバーを作成する.
  (5) Private からは Global においたプリンタにアクセスできるようにする.
  (6) Private から Windows Update を可能にする

というコンセプトで作成を行っております.一応,iptablesを閉じた状態では,
(1)-(4)まではできることを確認したのですが,iptablesを起動すると,
appletalk (netatalk)以外はすべて弾かれてしまいます.そこで,原因がiptablesに
あると判断しましたが,解決することができず,質問させていただきました.
もし,以前にこのような質問がありましたら,すいません.また,
長文ですいません.

 現在,ホームページなどからの情報で,
サーバ自体に対する設定はこのようになっております.
 
#clear 
  /sbin/iptables -F INPUT 
  /sbin/iptables -F OUTPUT 
  /sbin/iptables -F FORWARD
#policy  
  /sbin/iptables -P INPUT DROP
  /sbin/iptables -P OUTPUT DROP
  /sbin/iptables -P FORWARD DROP
#localhosts
  /sbin/iptables -A INPUT -s $LOCAL_HOSTS -d $LOCAL_HOSTS -j ACCEPT
  /sbin/iptables -A OUTPUT -s $LOCAL_HOSTS -d $LOCAL_HOSTS -j ACCEPT
#
  /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#for DNS (大学)
  /sbin/iptables -A INPUT -p udp --sport 53 -s $DNS_PRI -j ACCEPT
  /sbin/iptables -A OUTPUT -p udp --dport 53 -d $DNS_PRI -j ACCEPT
  /sbin/iptables -A INPUT -p udp --sport 53 -s $DNS_SEC -j ACCEPT
  /sbin/iptables -A OUTPUT -p udp --dport 53 -d $DNS_SEC -j ACCEPT
#for SMB
  iptables -A OUTPUT -o eth0 -p tcp --dport 135:139 -d $GLOBALNET -j ACCEPT
  iptables -A OUTPUT -o eth0 -p udp --dport 135:139 -d $GLOBALNET -j ACCEPT
  iptables -A OUTPUT -o eth0 -p tcp --dport 445 -d $GLOBALNET -j ACCEPT
  iptables -A OUTPUT -o eth1 -p tcp --dport 135:139 -d $LOCALNET -j ACCEPT
  iptables -A OUTPUT -o eth1 -p udp --dport 135:139 -d $LOCALNET -j ACCEPT
  iptables -A OUTPUT -o eth1 -p tcp --dport 445 -d $LOCALNET -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp --sport 135:139 -s $GLOBALNET -j ACCEPT
  iptables -A INPUT -i eth0 -p udp --sport 135:139 -s $GLOBALNET -j ACCEPT
  iptables -A INPUT -i eth0 -p tcp --sport 445 -s $GLOBALNET -j ACCEPT
  iptables -A INPUT -i eth1 -p tcp --sport 135:139 -s $LOCALNET -j ACCEPT
  iptables -A INPUT -i eth1 -p udp --sport 135:139 -s $LOCALNET -j ACCEPT
  iptables -A INPUT -i eth1 -p tcp --sport 445 -s $LOCALNET -j ACCEPT
#for atalk
  /sbin/iptables -A INPUT -i eth0 -p udp --dport 548 -d $GLOBALNET -j ACCEPT
  /sbin/iptables -A INPUT -i eth0 -p tcp --dport 548 -d $GLOBALNET -j ACCEPT
  /sbin/iptables -A INPUT -i eth1 -p udp --dport 548 -d $LOCALNET -j ACCEPT
  /sbin/iptables -A INPUT -i eth1 -p tcp --dport 548 -d $LOCALNET -j ACCEPT
  /sbin/iptables -A OUTPUT -o eth0 -p udp --dport 548 -s $GLOBALNET -j ACCEPT
  /sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 548 -s $GLOBALNET -j ACCEPT
  /sbin/iptables -A OUTPUT -o eth1 -p udp --dport 548 -s $LOCALNET -j ACCEPT
  /sbin/iptables -A OUTPUT -o eth1 -p tcp --dport 548 -s $LOCALNET -j ACCEPT
#for ssh
  /sbin/iptables -P INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
  /sbin/iptables -P INPUT -i eth1 -p tcp --dport 22 -d $LOCALNET -j ACCEPT
#for ntp
  /sbin/iptables -A OUTPUT -o eth0 -p udp --sport 123 -d $NTP_SERVER -j ACCEPT
  /sbin/iptables -A INPUT -i eth0 -p udp --dport 123 -s $NTP_SERVER -j ACCEPT
#apt 用 (この設定特によくわかっていません)
  /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
  /sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 20:21 -j ACCEPT

その他,本などで書いてあった,DoS対策などの設定もしておりますが,その部分を削っても
やはり,つながりませんでした.この設定で今までに確認していることは,

  (1) ipchainはoffになっている.
  (2) /sbin/modprobe iptable_nat, ip_nat_ftp, ip_conntrack_ftp等は実行している
  (3) /sbin/iptabes-save > /etc/sysconfig/iptables は行っており,また,iptables
    の再起動も行っている.
  (4) すべて削除して,INPUT,OUTPUT, FORWARDのデフォルトポリシーをACCEPTのみにしても
    やはり,sshとかはつながらない.
  (5) iptablesを止めると,ssh, smb, apt はすべて通常通りに動く.

です.長々と失礼しました.よろしくお願いします.


**********************************************************************


              Futoshi Tanaka <haw19070@xxxxxxxxxxxxxx>