[plamo:13256] Re: IPMasqueradeの設定の件

[KUSAKABE -bourbon!- Toshiaki]

日下部@東京都練馬区です。

色々メールを読んだり、書いたりしてるうちに
自分でも混乱してきましたので、もうちょっと考えてみました。(_ _;

良く良く考えてみると、IP Masquarade の意味は、
src アドレスからのパケットを、1024番以上のポートに割り当て、送信元IPア
ドレスを WAN側のIPアドレスに変換し、そのポートでの通信を行ない、そのポー
トへの通信は、元のアドレスへの応答だと考え、そのLANのマシンの元のポー
トへフォワードする
というものですよね?

つまり(以下は例ですが)、

LAN -> http packet (src/dist 80) -> Linux Box gw \
         192.168.1.0/24
                             -> http(src 3824 dist 80) -> www site
                                      10.0.0.1/32

という、「内から外」への通信を基本としたものだからです。

小楠さんの案だと、「外から内」への IP Masq. のルールがないので、外から
コネクションを張りにいけません。
つまり、サーバーをLANに置いても、gw外から参照できないわけです。

以上から、
  外からのパケットについてのルーティングルールの記述は必要
  IPフィルタリングも必要
となります。

だから、
#/sbin/ipchains -A forward -s 192.168.1.0/24 -j MASQ
は外向けになり、外から内向けを敢えて書く(書ける)とするなら
#/sbin/ipchains -A forward -d 192.168.1.2/32 domain -j MASQ
(192.168.1.2 は DNS サーバーのマシンとしてます)
となるのでしょうか。(自信ないっすけど)

そんでもって、↑はできないと思われるので(カーネル 2.4.x + iptables は
できますが)、IPMASQADM なんつうのがあるんじゃないかと。

以上で、やっとまともな回答になってきたでしょうか? (^^;;;
-- 
//                   東京都練馬区   ぶるぼん企画                   //
//                 日下部 俊昭 <kusakabe@reccoa.net>               //
//        緊急連絡先: kusa_mjm@jp-t.ne.jp (J-Sky long Mail)        //