[vine-users:081176] Re: Vine5.2でNIC2枚の環境でNetworkManagerとnetworkの関係について

Kamae Norihiro norihiro @ nagater.net
2011年 7月 11日 (月) 18:49:54 JST 

釡江と申します.
設定し終わってからのコメントになってしまい, 申し訳ありません.

> 『rc.localにでも書いておけばとりあえずは良いと思います。』
> の意図する所も理解できて設定内容・方法も何とか理解でき、環境に
> 合わせた設定で無事初期の目的が果たせました。本当に有難うございました。
結局どのように設定されたの分からないのですが,
/etc/rc.local に記述するよりは,
/etc/sysconfig/iptables の方の設定されるのがよいのではと思います.

もともと, chkconfig --list の結果に
> iptables        0:off   1:off   2:on    3:on    4:on    5:on    6:off
とあって, ファイアウォール (パケットフィルタ) を有効にしているのに,
もし, rc.local に追加した場合,
> > iptables -F
が, フィルタ設定を消去します.

On Mon, Jul 11, 2011 at 05:17:42PM +0900, 辻 隆夫 wrote:
> 辻隆夫です。
> さかい様、あらい様、井上様のアドバイスにより無事解決しました。
> 有難うございました。
> 【1】dhcpdが自動起動しない点はNetworkManagerを止めてnetworkのみに
> する事で解決(気持ちの上ではすっきりしませんが・・・)。
> 【2】デフォルトゲートウェイを112.98.176.225===>10.0.0.2に訂正。
> 【3】さかい様のアドバイス
> > NAPTの設定(内容については、理解してからお使いください。外→中は適当で
> > す)
> > rc.localにでも書いておけばとりあえずは良いと思います。
> > ------ここから--------
> > #!/bin/sh
> > 
> > modprobe ip_tables
> > 
> > LAN_NIC=eth0
> > WAN_NIC=eth1
> > LAN_NETMASK=255.255.255.0
> > LAN_NETADDR=10.0.0.2
> > 
> > iptables -F
> > iptables -P INPUT DROP
> > iptables -P OUTPUT ACCEPT
> > iptables -P FORWARD ACCEPT
> > 
> > # IP マスカレードを有効化
> > iptables -t nat -A POSTROUTING -o $WAN_NIC -s $LAN_NETADDR/$LAN_NETMASK
> > -j MASQUERADE
> > 
> > # ローカルループバックを許可
> > iptables -A INPUT -i lo -j ACCEPT
> > iptables -A INPUT -s 127.0.0.0/8 -j ACCEPT
> > 
> > # LAN 側からのアクセスを許可
> > iptables -A INPUT -i $LAN_NIC -j ACCEPT
> > 
> > # LAN 側からのアクセスに対する外部からの応答を許可
> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> > 
> > # プライベートアドレスの流出防止
> > iptables -A OUTPUT -o $WAN_NIC -d 127.0.0.0/8 -j DROP
> > iptables -A OUTPUT -o $WAN_NIC -d 10.0.0.0/8 -j DROP
> > iptables -A OUTPUT -o $WAN_NIC -d 172.16.0.0/12 -j DROP
> > iptables -A OUTPUT -o $WAN_NIC -d 192.168.0.0/16 -j DROP
> > ------ここまで--------
> > 
> > こんな感じでどうでしょうか。
> ■『rc.localにでも書いておけばとりあえずは良いと思います。』
> の意図する所も理解できて設定内容・方法も何とか理解でき、環境に
> 合わせた設定で無事初期の目的が果たせました。本当に有難うございました。
>                          辻隆夫
> _______________________________________________
> vine-users mailing list
> vine-users @ listserv.linux.or.jp
> http://listserv.linux.or.jp/mailman/listinfo/vine-users

-- 
釡江 典裕

vine-users メーリングリストの案内