Linux�ō��t�@�C�A�E�H�[���m�p�P�b�g�t�B���^�����O�ݒ�ҁn�F�[������n�߂�Linux�Z�L�����e�B�i5�j�i1/2 �y�[�W�j
���悢��p�P�b�g�t�B���^�����O�̐ݒ���n�߂�B��������ƕs�v�ȃp�P�b�g���u���b�N�ł���A�t�@�C�A�E�H�[���̓����̈��S�x�͂����シ��B�p�P�b�g�̐�����iptables�̓���������Ń}�X�^�[���Ăق����B
�@�O����NAT�̐ݒ���@��������܂����B����Ō�������̌o�H���ł������ƂɂȂ�܂��B����̓t�@�C�A�E�H�[���̎d�グ�Ƃ��āA�p�P�b�g�t�B���^�����O�̐ݒ���s���܂��B
�p�P�b�g�t�B���^�����O�̎d�g��
�@�p�P�b�g�t�B���^�����O�̐ݒ�Ƃ͂����Ȃ���̂����ȒP�ɐ�������ƁA�ǂ̂悤�ȃp�P�b�g��ʉ߂����邩�A���邢�͓��B�����^���ۂ����邩���`���邱�Ƃł��Biptables�ł�IP�A�h���X��v���g�R���A�|�[�g�A�t���O�����g�ȂǂŐ����������邱�Ƃ��\�ł��B����ɁA���M��A���M���Ȃ̂��Ƃ��������f���ł��܂��B������s���̂��Afilter�e�[�u���Ɋ܂܂��FORWARD�AINPUT�AOUTPUT�Ƃ���3�̃`�F�C���ł��B�܂���3�̃`�F�C���̊W�����Ă����܂��傤�B
�}1 iptables�ɂ��p�P�b�g�t�B���^�����O�̗����@�p�P�b�g����M�����ہA�܂��p�P�b�g�̑��M����`�F�b�N���܂��B���M�悪���̃p�P�b�g����M�����z�X�g���̂��̂ł���AINPUT�`�F�C���ɑ����Ē�`����Ă��郋�[���ɏ]���ď�������A���̃p�P�b�g�����ꍇ�͓K�ȃT�[�r�X�ɓn����܂��B���M�悪�ʂ̃z�X�g�ł����FORWARD�`�F�C���ɑ����A�p�P�b�g�̒ʉ߂��������ΊY������z�X�g�ւƓ]������܂��B������Ȃ������p�P�b�g�́A�����Ŕj�������Ƃ����킯�ł��B���ɁA���̃z�X�g�̃v���O�����ɂ���Đ������ꂽ�p�P�b�g��OUTPUT�`�F�C���Ń`�F�b�N����A�������Α��M��ւƑ���o����܂��B
�@�t�@�C�A�E�H�[���̓C���^�[�l�b�g��LAN�̊ԂŃp�P�b�g��ʉ߂��邢�͔j������̂���{�I�Ȗ�ڂł�����AFORWARD�̐ݒ肪���S�ɂȂ�܂��B�������A�t�@�C�A�E�H�[�����̂ɑ��ĉ��炩�̓��������i�����[�g�����e�i���X�Ȃǁj���s�������ꍇ������̂ŁAINPUT��OUTPUT�̐ݒ���s���Ă����ׂ��ł��傤�B
FORWARD�`�F�C��
�@FORWARD�`�F�C���́A�t�@�C�A�E�H�[���̊̂ɂȂ�`�F�C���ł��B�K�v�ȃp�P�b�g������DMZ��̖ړI�̃z�X�g��T�[�r�X�փA�N�Z�X��������i�t�@�C�A�E�H�[����ʉ߂�����j�̂��A����FORWARD�`�F�C���̎d���ł��B���R�̂��ƂȂ���AFORWARD�`�F�C���̊�{�|���V�[��DROP�i�p�P�b�g��j���j�Ƃ��܂��B�����āA������A�N�Z�X�̂݁u����������v�ݒ���s���܂��B
��{�|���V�[�̓p�P�b�g�̔j��
�@��{�I��FORWARD�`�F�C���̃|���V�[��DROP�Ƃ���̂ŁA�܂����̃R�}���h�����s���܂��B
# /sbin/iptables -P FORWARD DROP
�@-P�I�v�V�����͑O����������Ƃ���A�w�肵���`�F�C���ɑ��Ċ�{�|���V�[��ݒ肷��I�v�V�����ł��B����ŁA�t�@�C�A�E�H�[����ʉ߂���DMZ��̃z�X�g�֓��B�ł���o�H�͂��ׂĐ₽�ꂽ���ƂɂȂ�܂��B
�ʉ߂�����p�P�b�g�̐ݒ�
�@���Ƀt�@�C�A�E�H�[����ʉ߂�����p�P�b�g�̐ݒ�ł��B�܂��͎��̂悤�ȃ��[����z�肵�Đݒ���s���܂��B
�C���^�[�l�b�g��̃z�X�g����Web�T�[�o�i192.168.0.10�j�ɑ���HTTP�i80/TCP�j�̃A�N�Z�X�݂̂�������B
�@FORWARD�`�F�C���ɒʉ߂������郋�[����lj�����킯�ł����A���ӂ��Ȃ���Ȃ�Ȃ��̂́Aiptables�ł�1�̃R�l�N�V������1�̃��[�������ŋ����邱�Ƃ��ł��Ȃ��Ƃ������Ƃł��B�ǂ��������Ƃ���TCP�̃R�l�N�V�������ɐ������܂��B
�}2�@TCP 3Way-HandShake�@TCP�̃Z�b�V�����́A
- �ڑ��v��������ڑ����SYN�t���O���Z�b�g�����p�P�b�g�𑗐M
- SYN�p�P�b�g��������ڑ���̃z�X�g�́A�ڑ����̃z�X�g��SYN/ACK�t���O���Z�b�g�����p�P�b�g�𑗐M���AACK�t���O���Z�b�g�����p�P�b�g��҂���
- �ڑ����̃z�X�g���瑗�M���ꂽACK�t���O���Z�b�g���ꂽ�p�P�b�g��ڑ���̃z�X�g�����
�Ƃ���3�̒i�K���o�ĊJ�n����܂��B
�@iptables�ł́A�ڑ����̃z�X�g����ڑ���̃z�X�g�ւ̃��[���i��}�́i1�j�i3�j�j�Ɛڑ���̃z�X�g����ڑ����̃z�X�g�ւ̃��[���i��}�́i2�j�j�Ƃ�ʁX�̃��[���Œ�`����K�v������܂��i���j�B
�@����܂��������ŁA���ۂ̃��[����ݒ肵�Ă����܂��B�C���^�[�l�b�g��̃z�X�g����AWeb�T�[�o�ւ̃A�N�Z�X��������ɂ͎��̃R�}���h�����s���܂��B
# /sbin/iptables -A FORWARD -p tcp --dport 80 -d 192.168.0.10 -j ACCEPT
�@��L�̃I�v�V�����́A���̓��e��FORWARD�`�F�C���ɒlj��iAPPEND�j�������Ƃ��Ӗ����܂��B����ɂ��A��}�́i1�j�Ɓi3�j���\�ɂȂ�܂��B
| -p | �v���g�R���Ftcp |
|---|---|
| --dport | ���M��|�[�g�F80 |
| -d | ���M��A�h���X�F192.168.0.10 |
| -j | �^�[�Q�b�g�FACCEPT�i�p�P�b�g�̒ʉ߂����j |
�@���ɁAWeb�T�[�o����C���^�[�l�b�g��̃z�X�g�ւ̉����p�P�b�g�������郋�[����ݒ肵�܂��B���ꂪ��}�́i2�j���\�ɂ��郋�[���ł��B
# /sbin/iptables -A FORWARD -p tcp ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.0.10 -j ACCEPT
�@����ŁA�C���^�[�l�b�g��̃z�X�g����Web�T�[�o�ւ�HTTP�̃A�N�Z�X�͋����ꂽ���ƂɂȂ�܂��B
�@��L�̃I�v�V�����́A���̓��e��FORWARD�`�F�C���ɒlj��iAPPEND�j�������Ƃ��Ӗ����܂��B
| -p | �v���g�R���Ftcp |
|---|---|
| --sport | ���M���|�[�g�F80 |
| -s | ���M���A�h���X�F192.168.0.10 |
| ! --syn | �t���O�FSYN�t���O�ȊO |
| -m state --state | �X�e�[�^�X�FESTABLISHED |
| -j | �^�[�Q�b�g�FACCEPT�i�p�P�b�g�̒ʉ߂����j |
�@�w�肵���I�v�V�����̒��ɁA��قǂƂ͈Ⴄ���̂��܂܂�Ă��܂��B����́u�t���O�v�Ɓu�X�e�[�^�X�v�ł��B
��flag�i�t���O�j�F
�@�t���O�������Ƃ���g���}�b�`���O�ŁA�u-p tcp�v�i--protocol tcp�j�p�����[�^���w�肵���Ƃ��̂ݎg�p�ł��܂��B
�@TCP�p�P�b�g�ɂ́A�t���O�Ƃ���SYN�ASYN/ACK�AACK�ARST�Ȃǂ��Z�b�g����Ă��܂��Biptables�ł͎��̃t���O���w�肷�邱�Ƃ��ł��܂��B
SYN�AACK�AFIN�ARST�AURG�APSH�AALL�i���ׂāj�ANONE�i���ׂĂȂ��j
�@�ʏ�́u--tcp-flags�v�Ƃ��āA�`�F�b�N����t���O�ƃZ�b�g����Ă���ׂ��t���O���w�肵�܂��B�Ⴆ�A
-p tcp --tcp-flags ALL SYN,ACK
�Ƃ����ꍇ�́u���ׂẴt���O�iALL�j���`�F�b�N���ASYN��ACK�������Z�b�g����Ă���TCP�p�P�b�g�v���Ӗ����܂��B
�@�u--syn�v�́u--tcp-flags SYN,RST,ACK SYN�v�̏ȗ��`�ŁA�uSYN�ARST�AACK�t���O���`�F�b�N���ASYN�������Z�b�g����Ă���TCP�p�P�b�g�v�Ƃ����Ӗ��ɂȂ�܂��B��L�̃I�v�V�����ɂ́u! --syn�v���w�肳��Ă��܂��B�O����Љ���悤�Ɂu!�v�͏����]������p�����[�^�ł�����A�uSYN�r�b�g���N���A�����ACK��FIN�r�b�g���Z�b�g����Ă���TCP�p�P�b�g�v�ƂȂ�܂��B
�@�Ȃ����̃I�v�V�������w�肷�邱�Ƃ��K�v�Ȃ̂��l���Ă݂܂��傤�B�ʏ�A�T�[�o�ł���Ύ������g����ق��̃z�X�g�ڑ����邱�Ƃ͂قƂ�ǂȂ��ł��傤�i���j�B��L�̃��[���́A�A�N�Z�X�ɑ��鉞���������邽�߂̂��̂ł��B�ڑ��̊J�n�ɃZ�b�g����A�V�[�P���X�ԍ��̏������Ɏg����SYN�t���O���Z�b�g���ꂽ�p�P�b�g�̒ʉ߂�������K�v�͂Ȃ��̂ł��BSYN�t���O���Z�b�g���ꂽ�p�P�b�g�̒ʉ߂����ۂ��邱�Ƃ́A�N���b�J�[�ɉ��ɐN�����ꂽ�Ƃ��Ă��ق��̃z�X�g�ւ̓��ݑ�Ƃ����Ȃ����߂ɂƂĂ��L���Ȏ�i�ƂȂ�̂ł��B
��status�i�X�e�[�^�X�j�F
�@�p�P�b�g�̏�Ԃ��`�F�b�N�����肷��ۂɎg�p����g���}�b�`���O�ŁA--state���g���ɂ́u-m state�v���K�v�ł��B�܂�A�K���u-m state --state�v�Ƃ����`�����܂��B����̗�ł͈����Ƃ��āuESTABLISHED�v���^�����Ă��܂��BESTABLISHED�ȃZ�b�V�����A�܂�o�����̃R�l�N�V�����̃p�P�b�g��������Ƃ������ƂɂȂ�܂��B
| NEW | �V�R�l�N�V�������J�n����p�P�b�g |
|---|---|
| ESTABLISHED | �ʏ�̉����p�P�b�g���邢�͊m�����R�l�N�V�����̉��� |
| RELATED | ICMP�G���[�AFTP�f�[�^�R�l�N�V�����Ȃǂ̃p�P�b�g |
| INVALID | �����ȃp�P�b�g |
| �\�@--state�̃}�b�`���� | |
�@flag�ƃZ�b�g�Ŏw�肷�邱�ƂŁA�N���b�J�[�ɐN������Ă��܂��Ă��ق��̃z�X�g�ւ̓��ݑ�Ƃ���Ȃ��悤�ɂ��܂��B�������ȃZ�L�����e�B���1�ƍl�����܂��B
�@�ȏ�AWeb�T�[�o���ɐݒ���@���Љ�܂����B���[���T�[�o��DNS�T�[�o�ւ̃A�N�Z�X�����A������Q�l�ɂ���ΐݒ�ł���ł��傤�B
Copyright © ITmedia, Inc. All Rights Reserved.
��IT eBook
���ڂ̃e�[�}
ITmedia�̓A�C�e�B���f�B�A������Ђ̓o�^���W�ł��B