[vine-users:081177] Re: Vine5.2でNIC2枚の環境でNetworkManagerとnetworkの関係について

辻 隆夫 Tsuji @ kensyo.jp
2011年 7月 11日 (月) 19:31:51 JST


釡江さま

ご連絡有難うございます。ご指摘頂いた内容はちょうど悩んでいた点ですが、
前述のように決定しました。
> 
> 釡江と申します.
> 設定し終わってからのコメントになってしまい, 申し訳ありません.
> 
> > 『rc.localにでも書いておけばとりあえずは良いと思います。』
> > の意図する所も理解できて設定内容・方法も何とか理解でき、環境に
> > 合わせた設定で無事初期の目的が果たせました。本当に有難うございました。
> 結局どのように設定されたの分からないのですが,
■/etc/rc.d/rc.local の最後に

##辻がファイアーウォール関係の設定2011.07.11
#iptablesの初期化
iptables -t filter -F
iptables -t nat -F

#インタフェース間の転送制御設定
echo 1 > /proc/sys/net/ipv4/ip_forward

#IPマスカレードの設定
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE

#ネットワークインタフェースの設定
iptables -A INPUT -p tcp -j ACCEPT
iptables -A INPUT -p udp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

#WWWサーバ(HTTP:80 及び HTTPS:443)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -j ACCEPT

#DNSへの問い合わせを許可(DNS:53)
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT

#FTPを許可
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -j ACCEPT

#POP(110) 及び SMTP (25) 及び IMAP4 (143)を許可
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --sport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp --sport 143 -j ACCEPT

#設定確認
#iptables -L

#設定の反映
/etc/init.d/iptables save
/etc/init.d/iptables restart
=======ここまで==================================
を追加しましたので、ご指摘通りiptablesの内容を上書きしています。
なんだか拙いですかね。

> /etc/rc.local に記述するよりは,
> /etc/sysconfig/iptables の方の設定されるのがよいのではと思います.
> 
> もともと, chkconfig --list の結果に
> > iptables        0:off   1:off   2:on    3:on    4:on    5:on    6:off
> とあって, ファイアウォール (パケットフィルタ) を有効にしているのに,
> もし, rc.local に追加した場合,
> > > iptables -F
> が, フィルタ設定を消去します.
> 
■もともと急造のシステム管理者ですので、コマンドよりもGUIでの設定が
中心で、今回のファイアーウォールもgnomeで「システム」-「システム管理」-
「セキュリティレベルとファイアーウォールの設定」で行っておりました。
/etc/sysconfig/iptablesにNAPTの設定を追加する方法で初期の目的は達成した
のですが上記GUIでsambaを追加選択するとNAPTの設定が消えてしまうので
強制的に再起動時に読み込んでくれる/etc/rc.d/rc.localへの記述方法を選択し
ました。問題点がございましたらアドバイスをお願いします。    辻隆夫



vine-users メーリングリストの案内