- PR -

iptablesの設定

1
投稿者投稿内容
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2003-02-17 15:33
 お世話になります。構成を描きます。

-----------------------------------------------------------
[インターネット]
   |
   | 動的グローバルIPアドレス
[ルータ IPマスカレード]
   | 192.168.0.1
   |
   +---[proxyサーバー]eth0:192.168.0.200  squid port:3128  iptables
   |
   +---[ローカルマシン]eth0:192.168.0.2  Redhat8.0 iptables
   |
   |
------------------------------------------------------------

 proxyサーバーのiptablesの定義はオールACCEPTにしています。今回問題となっておりますのは、ローカルマシンのiptablesの定義です。

 squid側の設定はほとんどデフォルトで、ポートは3128のままです。
ローカルマシンのiptablesを停止(オールACCEPT)させて、ブラウザのプロキシの設定で、
 プロキシサーバー:192.168.0.200
 ポート:3128
と指定するとyahooや他のサイトを表示することができます。

 今回、squid側ではなく、あえてローカルマシンのiptablesの設定を、プロキシとの間のみ許可させたいと思っております。どういうルールを作成すればよいのでしょうか、下記のルールでは駄目でした。

[ローカルマシンのiptablesの定義]
------------------------------------------------------------
# ローカルマシンからプロキシに対して3128/TCPを許可
/sbin/iptables -A OUTPUT -p TCP -s 192.168.0.2 --dport 3128 -d 192.168.0.200 -o eth0 -j ACCEPT
/sbin/iptables -A INPUT -p TCP ! --syn -m state --state ESTABLISHED --sport 3128 -s 192.168.0.200 -d 192.168.0.2 -i eth0 -j ACCEPT
------------------------------------------------------------

 私はクライアントマシンからプロキシの3128/TCPにアクセスしているのだろうと信じています。クライアントがプロキシ経由でアクセスする際の本当の通信順序も含めてお教え願えれば光栄です。是非アドバイスお願い申し上げます。
ちば
大ベテラン
会議室デビュー日: 2003/02/14
投稿数: 114
お住まい・勤務地: 都内勤務
投稿日時: 2003-02-17 16:11
はじめまして、ちばといいます。

以下の2行をルールに追加し、/var/log/messagesに出力されるログを掲載して
下さい。

追加ルール↓
/sbin/iptables -A INPUT -d 192.168.0.2 -i eth0 -j LOG --log-prefix "INPUT : "
/sbin/iptables -A OUTPUT -s 192.168.0.2 -o eth0 -j LOG --log-prefix "OUTPUT : "

追加後、クライアントにてproxy経由でインターネット接続を試み、その結果を
ここに乗せてください。それで何かわかると思います。

宜しくお願いします。
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2003-02-17 16:18
 了解しました。早速のご返答ありがとうございます。今、サーバーが使えない状態ですので、18:00ごろまでには載せれると思います。よろしくお願いします。
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2003-02-18 09:55
 すいません。遅くなりました。。別件でトラブっておりまして。。
さて、LOGですが、クライアントのブラウザから接続しても、そのログは/var/log/messagesに残りません。他にもiptablesの定義があるからでしょうか。。
ふじい
大ベテラン
会議室デビュー日: 2002/05/07
投稿数: 123
お住まい・勤務地: 東京
投稿日時: 2003-02-18 13:13
ふじいです。

引用:

okumuraさんの書き込み (2003-02-18 09:55) より:
 すいません。遅くなりました。。別件でトラブっておりまして。。
さて、LOGですが、クライアントのブラウザから接続しても、そのログは/var/log/messagesに残りません。他にもiptablesの定義があるからでしょうか。。


okumuraさんが追加したルールの前にムスカさんのルールを適応したほうがいいですが、そうなってますでしょうか?
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2003-02-18 13:26
引用:

ふじいさんの書き込み (2003-02-18 13:13) より:
ふじいです。

引用:

okumuraさんの書き込み (2003-02-18 09:55) より:
 すいません。遅くなりました。。別件でトラブっておりまして。。
さて、LOGですが、クライアントのブラウザから接続しても、そのログは/var/log/messagesに残りません。他にもiptablesの定義があるからでしょうか。。


okumuraさんが追加したルールの前にムスカさんのルールを適応したほうがいいですが、そうなってますでしょうか?

お世話になります。そのようにするとうまくいきました。ログを見てエラーもわかり、プロキシとの通信もうまくいきました。

 ふじい様、ムスカ様ありがとうございました。またよろしくお願いします。
1

スキルアップ/キャリアアップ(JOB@IT)