IP アドレスやサービスごとにフィルタをかけることができます。 設定ファイルは IPv4 の場合は /etc/ipf.conf で、 IPv6 の場合は /etc/ipf6.conf です。
NetBSD で NAT 箱が作れます。 設定ファイルは /etc/ipnat.conf です。
なお ftp の active mode については proxy オプションでサポートされます。
/usr/share/examples/ipf/ の下に例がいろいろあるのでその辺をまず見ましょう。
NAT するから、とりあえず ipf.conf を作るという場合は
pass in all pass out allとでもすればいいが、後でちゃんとフィルタ [1] する必要がある。
ネットワーク構成が
ADSL <------ ppp0 NetBSD 箱
ep0
|
自宅 (10.0.0.0/16)
のようになっている場合、
/etc/ipnat.conf の最も簡単なルールは次のようになります。
# ADSL connection map ppp0 10.0.0.0/16 -> 0/32 proxy port ftp ftp/tcp map ppp0 10.0.0.0/16 -> 0/32 portmap tcp/udp 1025:65000 map ppp0 10.0.0.0/16 -> 0/32これで、 10.0/16 のネットワークからインターネット(外)の世界への通信は IP Filter がよろしくやってくれます (ftp の active mode も含めてよろしくやってくれます)。
| Warning |
この形態では NetBSD 箱はルータです。 つまり IP フォワーディング(IP Forwarding)が有効になっていることに注意 して下さい。 # sysctl -a |grep forw net.inet.ip.forwarding = 1 ←これが 1 になっていること net.inet.ip.forwsrcrt = 1 net.inet6.ip6.forwarding = 0 |
| [1] | 例えば ADSL の場合、常時接続だから、どのサービスは外に見せても いいのか?などをちゃんと考えないと自宅内部用の WWW サーバが世 界に晒し物になっていたりするので気をつけよう。 また、攻撃する方は縦断爆撃でくるので、 IP アドレスなんて相手に分からないなんて仮定も当然間違い。 |
Copyright (C) 1993-2022 Ken'ichi Fukamachi mail:< fukachan at fml.org >