福原です. > Vine3.1.PPCのftp版にて、自宅の1台のMacで以下のようにiptablesを設定して、 > ブラウザでのファイアーウォール設定をせずにsquidを使おうとしています。 # 「ファイアーウォール設定」よりは「プロキシ設定」の方が一般的な # いいかたでしょうが iptables や squid を動かすホストと,ブラウザを動かすホストが同じなのですね. > ###以下/etc/rc.local末尾に記載(最後の2行は実際には1行)。 > echo 1 > /proc/sys/net/ipv4/ip_forward > echo 1 > /proc/sys/net/ipv4/ip_dynaddr この2行はどういう意味があるのでしょう? > iptables -t nat -A OUTPUT -p tcp --dport 80 > -m owner ! --uid-owner 23 -j REDIRECT --to-port 3128 Vine 3.1 の i386 版で試してみると,これで動作しているみたいですね. > そこでnatテーブルのOUTPUTチェインにicmpをDROPするルールを書いて、 > pingでのテストを実施すると、DROPされずに通ってしまう現象が確認されました。 > 同様にfilterテーブルのOUTPUTチェインとnatテーブルのPOSTROUTINGチェインをテストすると、 > きちんとDROPされました。 > このテストの概略はこのメールの最後に示します。 i386 版では,同じテストで正常に動作しました. > 5. 意図通りに動作するVine2.6と、意図通りに動作しないVine3.1では、 > lsmodの出力に違いが見られました。 > ip_conntrackの3番目のフィールドの数値が、 > Vine2.6では1となっていたが、Vine3.1では0となっていました(後述)。 i386 版でも ip_conntrackの3番目のフィールドの数値は 0 でした. # iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination REDIRECT tcp -- anywhere anywhere tcp dpt:http ! OWNER UID match squid redir ports 3128 # # lsmod Module Size Used by Tainted: P ipt_REDIRECT 1592 1 (autoclean) ipt_owner 2552 1 (autoclean) iptable_nat 30446 1 (autoclean) [ipt_REDIRECT] ip_conntrack 40472 0 (autoclean) [ipt_REDIRECT iptable_nat] iptable_filter 2476 0 (autoclean) (unused) ip_tables 17952 6 [ipt_REDIRECT ipt_owner iptable_nat iptable_filter] autofs 12212 0 (autoclean) (unused) tulip 42368 1 crc32 3592 0 [tulip] hid 23972 0 (unused) usb-uhci 27120 0 (unused) encode-eucjp 242960 0 (unused) # > 私の環境は以下のとおりです。 > PowerMac G3/DT266:BootXで起動。 > Vine3.1:ring.airnet.ne.jpより取得 > kernel-2.4.26-0vl17 > iptables-1.2.10-0vl2 > iptables-devel-1.2.10-0vl2 私が試したのは i386 版で,以下の環境です. kernel-2.4.27-0vl7.2 iptables-1.2.10-0vl2 実験の際は,iptables -F と iptables -t nat -F で,フィルタを全部 消してからやっているでしょうか? -- 福原 <makoto@xxxxxxxxxxxxxxxxxx>