- PR -

iptablesの設定について

1
投稿者投稿内容
なか
会議室デビュー日: 2004/05/20
投稿数: 2
投稿日時: 2007-01-31 15:34
RHEL4で利用してFWを下記環境を構築中ですがiptablesの設定が
うまくいきません。ご教授お願いいたします。

internet DMZ
ルータ ----- RHEL4 ----- www i.j.k.l/29
|
|
PC 192.168.30.44/24
localnet
環境
OS RHEL4
NIC eth0 192.168.30.101/24 localnet
eth1 a.b.c.d/29 internet
eth2 e.f.g.h/29 DMZ

iptablesの設定を下記にするとPCからWWWまでtelnet接続できますが
iptables -A FORWARD -p TCP -s 0/0 --dport 23 -d i.j.k.l -j ACCEPT
iptables -A FORWARD -p TCP --sport 23 -s i.j.k.l -d 0/0 -j ACCEPT

iptablesの設定を下記にするとPCからWWWまでtelnet接続できなくなります。
iptables -A FORWARD -p TCP -s 192.168.30.0/24 --dport 23 -d i.j.k.l -j ACCEPT
iptables -A FORWARD -p TCP --sport 23 -s i.j.k.l -d 192.168.30.0/24 -j ACCEPT

以上、宜しくお願いします。
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2007-01-31 15:56
こんにちは。

書いてあるルールでは問題点が見つからないように思いますので、LOGターゲットを一時的に入れて、通信時のログを確認してみては如何でしょうか。

  1. -A FORWARD -j LOG
  2. -A FORWARD -p tcp -s 192.168.30.0/24 -d i.j.k.l --dport 23 -j ACCEPT
  3. -A FORWARD -p tcp -s i.j.k.l -d 192.168.30.0/24 --sport 23 -j ACCEPT
  4. -A FORWARD -j LOG

LOGターゲットにも幾つかオプションがありますので、役立ちそうなのをつけとくと更に良いでしょう。( 前後の LOG で、違う内容の --log-prefix をつけるとか )

※ちなみに“--sport 23”と戻りのルールを書くよりは、“-m state --state RELATED,ESTABLISHED”の方が好みではあります。
なか
会議室デビュー日: 2004/05/20
投稿数: 2
投稿日時: 2007-01-31 16:41
返信有難うございます。

iptables -A FORWARD -i eth0 -o eth2 -j LOG
を行ったところログが何も出てこないのでもしやと思い
iptables -A FORWARD -i eth1 -o eth2 -j LOG
を行ったところPCがグローバルアドレスでwwwにアクセスを行っていました。

原因は環境にINS回線でインターネットに出る回線があり
外からwwwにアクセスしていたためでした。
INS側のルーターにDMZのルーティング情報を設定したら解決いたしました。
有難うございました。
1

スキルアップ/キャリアアップ(JOB@IT)