- PR -

iptables INPUT・OUTPUT・FORWARDについて

1
投稿者投稿内容
まべ
常連さん
会議室デビュー日: 2002/08/21
投稿数: 23
お住まい・勤務地: 麹町
投稿日時: 2004-01-30 11:45
お世話になります。
まべと申します。

非常に基本的な事で混乱しています。
お助けいただけないでしょうか。


iptables -A FORWARD -p TCP --sport 1024:65535 -s $MAINPC --dport 22 -d $DNS -j ACCEPT
iptables -A FORWARD -p TCP ! --syn --sport 22 -s $DNS --dport 1024:65535 -d $MAINPC -j ACCEPT

iptables -A INPUT -p TCP --sport 1024:65535 -s $MAINPC --dport 22 -d $DNS -j ACCEPT
iptables -A OUTPUT -p TCP ! --syn --sport 22 -s $DNS --dport 1024:65535 -d $MAINPC -j ACCEPT
が同じにルールに見えて来てしまっています。
違っているのは判るのですが、明確な答えがわかりません。
教えて頂けますでしょうか。
よろしくお願いします。

Shuji Tamura
会議室デビュー日: 2004/01/26
投稿数: 5
投稿日時: 2004-01-31 14:49
この前、! --syn の意味について質問をしました、Shuji Tamura です。

少しは、お役にたてればと思い、返信しました。

FORWARD は、そのコンピューターのインターフェースで受け取ったパケットを
ルーティングルール(テーブル)に従って、然るべきインターフェースに転送す
るだけです。従って、パケットによるコンピュータの内部処理は行いません。

INPUT は、インターフェースで受け取ったパケットを、コンピューター内部で
処理します。

OUTPUT は、コンピューター内部処理の結果作られたパケットをインターフェース
からコンピューター外部に送り出します。

FORWARD されるか、INPUT されるかは、そのパケットの宛先がどこになって
いるかで決まります。そのコンピュータ自身であれば、INPUT の対象となり、
他のコンピューターであれば、FORWARD の対象になります。

iptables では、パケットの処理プロセスは次のようになっています。

1. FORWARD
packet-->i/f-->PREROUTING-->routing-->FORWARD-->POSTROUTING-->i/f-->

2. INPUT, OUTPUT
packet-->i/f-->PREROUTING-->routing-->INPUT-->コンピューター内部処理-->OUTPUT-->POSTROUTING-->i/f-->

的外れな答でしたらごめんなさい。


_________________


[ メッセージ編集済み 編集者: Shuji Tamura 編集日時 2004-02-01 01:01 ]
まべ
常連さん
会議室デビュー日: 2002/08/21
投稿数: 23
お住まい・勤務地: 麹町
投稿日時: 2004-02-02 10:55
Shuji Tamura様
レス有難う御座います。
違いは何となく判ってはいるのですが、
実際に運用するとこれでもOKかなと思い始めてしまいまして。
お手数お掛けしました。
1

スキルアップ/キャリアアップ(JOB@IT)