初めまして.Tanakaと申します.早速質問させていただきたいと思いますが.
現在,私はglobalとprivateが混在した状態でのファイルサーバーを
作成しておりまして,そのFirewallの設定で躓いています.基本的には
,
(1) sshによる外部からのアクセスを可能にする.
(2) aptでアップデートを行う.
(3) ntpにより本体の時刻あわせを行う.
(4) Global 及び Private Network (ともに一組織内) から,Mac,Winの両方から
アクセスできるファイルサーバーを作成する.
(5) Private からは Global においたプリンタにアクセスできるようにする.
(6) Private から Windows Update を可能にする
というコンセプトで作成を行っております.一応,iptablesを閉じた状態では,
(1)-(4)まではできることを確認したのですが,iptablesを起動すると,
appletalk (netatalk)以外はすべて弾かれてしまいます.そこで,原因がiptablesに
あると判断しましたが,解決することができず,質問させていただきました.
もし,以前にこのような質問がありましたら,すいません.また,
長文ですいません.
現在,ホームページなどからの情報で,
サーバ自体に対する設定はこのようになっております.
#clear
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
#policy
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
#localhosts
/sbin/iptables -A INPUT -s $LOCAL_HOSTS -d $LOCAL_HOSTS -j ACCEPT
/sbin/iptables -A OUTPUT -s $LOCAL_HOSTS -d $LOCAL_HOSTS -j ACCEPT
#
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#for DNS (大学)
/sbin/iptables -A INPUT -p udp --sport 53 -s $DNS_PRI -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --dport 53 -d $DNS_PRI -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 53 -s $DNS_SEC -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --dport 53 -d $DNS_SEC -j ACCEPT
#for SMB
iptables -A OUTPUT -o eth0 -p tcp --dport 135:139 -d $GLOBALNET -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --dport 135:139 -d $GLOBALNET -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 445 -d $GLOBALNET -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --dport 135:139 -d $LOCALNET -j ACCEPT
iptables -A OUTPUT -o eth1 -p udp --dport 135:139 -d $LOCALNET -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --dport 445 -d $LOCALNET -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 135:139 -s $GLOBALNET -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 135:139 -s $GLOBALNET -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 445 -s $GLOBALNET -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --sport 135:139 -s $LOCALNET -j ACCEPT
iptables -A INPUT -i eth1 -p udp --sport 135:139 -s $LOCALNET -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --sport 445 -s $LOCALNET -j ACCEPT
#for atalk
/sbin/iptables -A INPUT -i eth0 -p udp --dport 548 -d $GLOBALNET -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 548 -d $GLOBALNET -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p udp --dport 548 -d $LOCALNET -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p tcp --dport 548 -d $LOCALNET -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p udp --dport 548 -s $GLOBALNET -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 548 -s $GLOBALNET -j ACCEPT
/sbin/iptables -A OUTPUT -o eth1 -p udp --dport 548 -s $LOCALNET -j ACCEPT
/sbin/iptables -A OUTPUT -o eth1 -p tcp --dport 548 -s $LOCALNET -j ACCEPT
#for ssh
/sbin/iptables -P INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -P INPUT -i eth1 -p tcp --dport 22 -d $LOCALNET -j ACCEPT
#for ntp
/sbin/iptables -A OUTPUT -o eth0 -p udp --sport 123 -d $NTP_SERVER -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp --dport 123 -s $NTP_SERVER -j ACCEPT
#apt 用 (この設定特によくわかっていません)
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --sport 20:21 -j ACCEPT
その他,本などで書いてあった,DoS対策などの設定もしておりますが,その部分を削っても
やはり,つながりませんでした.この設定で今までに確認していることは,
(1) ipchainはoffになっている.
(2) /sbin/modprobe iptable_nat, ip_nat_ftp, ip_conntrack_ftp等は実行している
(3) /sbin/iptabes-save > /etc/sysconfig/iptables は行っており,また,iptables
の再起動も行っている.
(4) すべて削除して,INPUT,OUTPUT, FORWARDのデフォルトポリシーをACCEPTのみにしても
やはり,sshとかはつながらない.
(5) iptablesを止めると,ssh, smb, apt はすべて通常通りに動く.
です.長々と失礼しました.よろしくお願いします.
**********************************************************************
Futoshi Tanaka <haw19070@xxxxxxxxxxxxxx>