> > の方が正しい気がしました。しかし、INPUTに対する一文だけで、(FORWARDが > > 無くても)IPマスカレードを行っているホスト自身も、内部のホストも、応答 > > パケットを受け取ることができてしまいます。 > >この動作、再現性があるんですよね...? >古いルールが残ってて変なフィルタになってたりして。 >iptables -F とかして、再設定してみてはどうでしょうか? この辺りの話なのですが、ip_conntrack なんかが使われている ときは、/proc/net/ip_conntrack で管理されている接続を見る 事が出来ます。 「--state ESTABLISHED,RELATED」のような選択を使った場合は、 そうやって管理されている情報を使うので、 ルールを変更してすぐだったりすると、情報が残っていたりして、 パケットが通過することがあります。 /proc/net/ip_conntrack の情報を確認してから、再テストする とどうでしょう?
References:
- [linux-users:91025] IPマスカレードとiptalesのstatefulinspectionNaoya Ito
- [linux-users:91028] Re: IPマスカレードとiptalesのstateful inspectionMunesato -NAK- Nakada
- Prev by Subject: [linux-users:91028] Re: IPマスカレードとiptalesのstateful inspection
- Next by Subject: [linux-users:91030] Re: 外字の扱い
- Previous by thread: [linux-users:91028] Re: IPマスカレードとiptalesのstateful inspection
- Next by thread: [linux-users:91032] Re: IPマスカレードとiptalesのstatefulinspection
- Indexes:[Main][Thread]