NAK と申します。 http://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO-6.html に流れ図が出ています。 参照してみてはいかがでしょうか? > ところが、実際に試してみると INPUT に対する stateful inspection の > 1行があれば中継も可能になり内部のホストがそれを受け取る事ができて > おり、FORWARDの1行は必要ありませんでした。 何気に FORWARD のポリシーが DROP じゃなかったとか...。 あと、動作確認したのが Linux ホスト上のゲートウェイサービスを 使ってたとか。 # ブラウザで動作確認しようとして、squid や delegate とか # 使ってたとか。 > これは、「LinuxホストがIPマスカレードによって通信を代理すると考えると、 > 応答パケットを受け取るのはLinuxホストであるから、(FORWARDではなく) > INPUTに対するルールがあれば良い」のだと解釈していたのですが、 この解釈って御自分で? > の方が正しい気がしました。しかし、INPUTに対する一文だけで、(FORWARDが > 無くても)IPマスカレードを行っているホスト自身も、内部のホストも、応答 > パケットを受け取ることができてしまいます。 この動作、再現性があるんですよね...? 古いルールが残ってて変なフィルタになってたりして。 iptables -F とかして、再設定してみてはどうでしょうか? --- 中田 宗里 (NAK) <munesato _at_ post.co.jp>
Follow-Ups:
- [linux-users:91029] Re: IPマスカレードとiptalesのstateful inspectionShunsuke.Baba
- [linux-users:91032] Re: IPマスカレードとiptalesのstatefulinspectionNaoya Ito
- Prev by Subject: [linux-users:91027] Re: 安全な通信方法
- Next by Subject: [linux-users:91029] Re: IPマスカレードとiptalesのstateful inspection
- Previous by thread: [linux-users:91025] IPマスカレードとiptalesのstatefulinspection
- Next by thread: [linux-users:91029] Re: IPマスカレードとiptalesのstateful inspection
- Indexes:[Main][Thread]