[vine-users:081178] Re: Vine5.2でNIC2枚の環境でNetworkManagerとnetworkの関係について

Masaki Kawamura kawamura @ is.sci.yamaguchi-u.ac.jp
2011年 7月 11日 (月) 19:35:53 JST 

かわむらです。

私だったこうする…をちょっと披露してみる。

1. 先のシェルスクリプトを適当なファイル名で保存しておく。
2. このシェルスクリプトを実行して、iptablesを設定する。
3. service iptables save
   で設定を保存する。これで、再起動しても、ipbtales の内容が反映される。

シェルスクリプトを別途とっておくことで、変更が必要になったときに、
修正が容易です。
/etc/sysconfig/iptables の書き方に慣れなくてよいです。

釡江様の「/etc/sysconfig/iptables の方の設定されるのがよい」も
同じ操作を言っているかも知れませんが、具体的に書いておきます。



From: Kamae Norihiro <norihiro @ nagater.net>
Subject: [vine-users:081176] Re: Vine5.2でNIC2枚の環境でNetworkManagerとnetworkの関係について
Date: Mon, 11 Jul 2011 18:49:54 +0900

> 釡江と申します.
> 設定し終わってからのコメントになってしまい, 申し訳ありません.
> 
>> 『rc.localにでも書いておけばとりあえずは良いと思います。』
>> の意図する所も理解できて設定内容・方法も何とか理解でき、環境に
>> 合わせた設定で無事初期の目的が果たせました。本当に有難うございました。
> 結局どのように設定されたの分からないのですが,
> /etc/rc.local に記述するよりは,
> /etc/sysconfig/iptables の方の設定されるのがよいのではと思います.
> 
> もともと, chkconfig --list の結果に
>> iptables        0:off   1:off   2:on    3:on    4:on    5:on    6:off
> とあって, ファイアウォール (パケットフィルタ) を有効にしているのに,
> もし, rc.local に追加した場合,
>> > iptables -F
> が, フィルタ設定を消去します.
> 
> On Mon, Jul 11, 2011 at 05:17:42PM +0900, 辻 隆夫 wrote:
>> 辻隆夫です。
>> さかい様、あらい様、井上様のアドバイスにより無事解決しました。
>> 有難うございました。
>> 【1】dhcpdが自動起動しない点はNetworkManagerを止めてnetworkのみに
>> する事で解決(気持ちの上ではすっきりしませんが・・・)。
>> 【2】デフォルトゲートウェイを112.98.176.225===>10.0.0.2に訂正。
>> 【3】さかい様のアドバイス
>> > NAPTの設定(内容については、理解してからお使いください。外→中は適当で
>> > す)
>> > rc.localにでも書いておけばとりあえずは良いと思います。
>> > ------ここから--------
>> > #!/bin/sh
>> > 
>> > modprobe ip_tables
>> > 
>> > LAN_NIC=eth0
>> > WAN_NIC=eth1
>> > LAN_NETMASK=255.255.255.0
>> > LAN_NETADDR=10.0.0.2
>> > 
>> > iptables -F
>> > iptables -P INPUT DROP
>> > iptables -P OUTPUT ACCEPT
>> > iptables -P FORWARD ACCEPT
>> > 
>> > # IP マスカレードを有効化
>> > iptables -t nat -A POSTROUTING -o $WAN_NIC -s $LAN_NETADDR/$LAN_NETMASK
>> > -j MASQUERADE
>> > 
>> > # ローカルループバックを許可
>> > iptables -A INPUT -i lo -j ACCEPT
>> > iptables -A INPUT -s 127.0.0.0/8 -j ACCEPT
>> > 
>> > # LAN 側からのアクセスを許可
>> > iptables -A INPUT -i $LAN_NIC -j ACCEPT
>> > 
>> > # LAN 側からのアクセスに対する外部からの応答を許可
>> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> > 
>> > # プライベートアドレスの流出防止
>> > iptables -A OUTPUT -o $WAN_NIC -d 127.0.0.0/8 -j DROP
>> > iptables -A OUTPUT -o $WAN_NIC -d 10.0.0.0/8 -j DROP
>> > iptables -A OUTPUT -o $WAN_NIC -d 172.16.0.0/12 -j DROP
>> > iptables -A OUTPUT -o $WAN_NIC -d 192.168.0.0/16 -j DROP
>> > ------ここまで--------
>> > 
>> > こんな感じでどうでしょうか。
>> ■『rc.localにでも書いておけばとりあえずは良いと思います。』
>> の意図する所も理解できて設定内容・方法も何とか理解でき、環境に
>> 合わせた設定で無事初期の目的が果たせました。本当に有難うございました。
>>                          辻隆夫

vine-users メーリングリストの案内