[linux-users:72964] Re: IP_masq.越しのipcahinsでのFTPでloginはできるのですが

Aizawa様、梶木様、きしだ様、shimazaki様(50音)
ご教授ありがとうございます。結果報告いたします。

>ほんじゃ、ethereal を入れて更に感動して下さい。:-)
>http://www.ethereal.com
さっそくDownloadしました。

>冷静に、DENY/REJECT してるルール全てに -l を付けてログを取り、さらに、最
>後
>に以下のようなルールを付加して、落とされたパケット全てのログを分析すると
>良いと思います。
>/sbin/ipchains -A input -j DENY -l -i tap0
>/sbin/ipchains -A output -j DENY -l -i tap0
>/sbin/ipchains -A forward -j DENY -l -i tap0
>tail -f /var/log/hogehoge して見てれば原因がわかるでしょう。
>あるいは、tcpdump で見てても良いです。

上記の通り、DENY/REJECTに-lを付け、3行を追加し
touch /var/log/tcpdebug
tail -f /var/log/tcpdebug
としましたが、tcpdebugにdumpをはき出しませんでしたので
tcpdump -i tap0としdumpをみておりました。
210.245.145.133/32 1024  <---- FTP -----> 0.0.0.0/0 1024のところに
問題がありそうだったのですが、ふと
/sbin/ipchains -A input -p TCP -d 210.255.145.133/32 21 -i tap0 -j
ACCEPT
/sbin/ipchains -A output -p TCP -s 210.255.145.133/32 21 -i tap0 -j
ACCEPT
をはずしてみようと考え、はずしてFirewall restartしたところ、localでも
アクセスできなくなりました。ローカルでもvc-netのDNSまで一度IPが飛んで
戻ってきているので結果やはり Firewallの ftp-dataの受け渡しが鍵だと思い
/sbin/ipchains -A input -p TCP -d 210.255.145.133/32 20 -i tap0 -j
ACCEPT
/sbin/ipchains -A output -p TCP -s 210.255.145.133/32 20 -i tap0 -j
ACCEPT
/sbin/ipchains -A input -p TCP -d 210.255.145.133/32 21 -i tap0 -j
ACCEPT
/sbin/ipchains -A output -p TCP -s 210.255.145.133/32 21 -i tap0 -j
ACCEPT
とし、パッシブモードではなく、アクティブモードでFTPしたところうまくいって
しまいました。
localでも今までパッシブモードしかできなかったのが、結果アクティブモード
でも出来るようになりました。
何故うまくいったのか色々考えましたが、ipchainsにおいて
/sbin/ipchains -I input -d 192.168.1.2/32 -i ! eth0 -j DENY
がftp-dataを通過させないでいると思われます。
ローカルからはip-masq--->vc-net(DNS)---->retrunでここを通過しているのかな？
理由はtcpdumpを出力時に気づいたのですが、
internet---->vc-net---(PPXP)----MN128--->
tap0(210.255.145.133<---firewall--->192.168.1.2)----->www,ftp
という環境でしたので、ftp-dataが通過できなかった様な気がします。
パッシブモードだと
/sbin/ipchains -I input -d 192.168.1.2/32 -i ! eth0 -j DENY
をはずせばうまくいくのかな？と思いますが他のlocalにもアクセス
できてしまうので210.xxxxxxで片づくアクティブモードの方がいいのかなと思う
のですが・・・
PPP接続でresov.confも書き変わっているので本当に正しいのかは
疑問なのですが・・・
取りあえずうまくいきました。
最後にipchainsを添付しておきます。
ありがとうございました。今後共よろしくお願い致します。

ワッツ（有）林のりゆき

以下 固定IP接続のipchains定義(local側のdhcp含む)
/sbin/ipchains -P input DENY
/sbin/ipchains -P forward DENY
/sbin/ipchains -P output DENY
/sbin/ipchains -A input -i lo -j ACCEPT
/sbin/ipchains -A output -i lo -j ACCEPT
/sbin/ipchains -A input -s 192.168.1.0/24 -d ! 192.168.1.2/32 -i eth0 -j ACCEPT
/sbin/ipchains -A input -p ICMP -s 192.168.1.0/24 -d 192.168.1.2/32 -i eth0 -j ACCEPT
/sbin/ipchains -A input -p UDP -s 0.0.0.0/0 68 -d 255.255.255.255 67 -i eth0 -j ACCEPT
/sbin/ipchains -A forward -s 192.168.1.0/24 -j MASQ
/sbin/ipchains -A output -p TCP -s 210.255.145.133/32 1024: -i tap0 -j ACCEPT
/sbin/ipchains -A output -p UDP -s 210.255.145.133/32 1024: -i tap0 -j ACCEPT
/sbin/ipchains -A output -p ICMP -s 210.255.145.133/32 -i tap0 -j ACCEPT
/sbin/ipchains -A input -p TCP ! -y -d 210.255.145.133/32 1024: -i tap0 -j ACCEPT
/sbin/ipchains -A input -p UDP -d 210.255.145.133/32 1024: -i tap0 -j ACCEPT
/sbin/ipchains -A input -p ICMP -d 210.255.145.133/32 -i tap0 -j ACCEPT
/sbin/ipchains -A output -s ! 192.168.1.2/32 -d 192.168.1.0/24 -i eth0 -j ACCEPT
/sbin/ipchains -A output -p ICMP -s 192.168.1.2/32 -d 192.168.1.0/24 -i eth0 -j ACCEPT
/sbin/ipchains -A output -p UDP -s 0.0.0.0/0 67 -d 255.255.255.255 68 -i eth0 -j ACCEPT
/sbin/ipchains -A input -p ! ICMP -d 210.255.145.133/32 -i ! tap0 -j DENY
/sbin/ipchains -I output -d 10.0.0.0/8 -i tap0 -j DENY
/sbin/ipchains -I output -d 172.16.0.0/12 -i tap0 -j DENY
/sbin/ipchains -I output -d 192.168.0.0/16 -i tap0 -j DENY
/sbin/ipchains -I input -s 10.0.0.0/8 -i tap0 -j DENY
/sbin/ipchains -I input -s 172.16.0.0/12 -i tap0 -j DENY
/sbin/ipchains -I input -s 192.168.0.0/16 -i tap0 -j DENY
/sbin/ipchains -I input -s 127.0.0.0/8 -i ! lo -j DENY
/sbin/ipchains -I input -s 192.168.1.0/24 -i ! eth0 -j DENY
/sbin/ipchains -I input -d 192.168.1.2/32 -i ! eth0 -j DENY
/sbin/ipchains -A input -p TCP -d 210.255.145.133/32 20 -i tap0 -j ACCEPT
/sbin/ipchains -A output -p TCP -s 210.255.145.133/32 20 -i tap0 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 210.255.145.133/32 21 -i tap0 -j ACCEPT
/sbin/ipchains -A output -p TCP -s 210.255.145.133/32 21 -i tap0 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 210.255.145.133/32 25 -i tap0 -j ACCEPT
/sbin/ipchains -A output -p TCP -s 210.255.145.133/32 25 -i tap0 -j ACCEPT
/sbin/ipchains -A input -p UDP -d 210.255.145.133/32 53 -i tap0 -j ACCEPT
/sbin/ipchains -A output -p UDP -s 210.255.145.133/32 53 -i tap0 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 210.255.145.133/32 53 -i tap0 -j ACCEPT
/sbin/ipchains -A output -p TCP -s 210.255.145.133/32 53 -i tap0 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 210.255.145.133/32 80 -i tap0 -j ACCEPT
/sbin/ipchains -A output -p TCP -s 210.255.145.133/32 80 -i tap0 -j ACCEPT
/sbin/ipchains -A input -p UDP -d 210.255.145.133/32 80 -i tap0 -j ACCEPT
/sbin/ipchains -A output -p UDP -s 210.255.145.133/32 80 -i tap0 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 210.255.145.133/32 123 -i tap0 -j ACCEPT
/sbin/ipchains -A output -p TCP -s 210.255.145.133/32 123 -i tap0 -j ACCEPT
/sbin/ipchains -A input -p UDP -d 210.255.145.133/32 123 -i tap0 -j ACCEPT
/sbin/ipchains -A output -p UDP -s 210.255.145.133/32 123 -i tap0 -j ACCEPT

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/

PHP3とPOSTGREの連携WEB CART SYSTEM稼働中
http://www.redwind.com　の中古販売にて

          ワッツ有限会社
             Redwind.Com
    URL：http://www.watspc.co.jp
    URL：http://www.watsjp.com
    URL：http://www.redwind.com
    Mail：wats _at_ watspc.co.jp
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
Prev by Subject: [linux-users:72963] Re: KondaraとRedHat のmultiboot(GNU GRUB)
Next by Subject: [linux-users:72965] RE: Helix GNOME
Previous by thread: [linux-users:72969] Re: Helix GNOME
Next by thread: [linux-users:72965] RE: Helix GNOME
Indexes:[Main][Thread]