PCMCIAでのパケットフィルター設定

ノートの場合何処にパケットフィルターの設定したら良いのでしょう?私もネットが先生なものですから散々捜しましたが、この辺の記事はなかなか探し当てることはできませんでした。スクリプトで記述派、etc/network/interfaces 編集派と分かれている様子だというくらいでしょうか。

そこで、私はパケットフィルターの設定を /etc/pcmcia/network.opts に書くことにしました。どうにか働いていますから間違いではないと思っております(^^;) パケットのフィルターを設定そもそもの内容は、ポリシーを決定するにあたり個人の考え方に差がでると思いますから、何処に設定ファイルを置いたかにとどめます。細かな設定は勉強して決めて下さい。

1つご忠告を、と言いますか、、、私が「填った!」事を。。。ルーターを作る訳ですから当然の様にIPマスカレード機能が必要と頭にこびり付いております。その為にカーネルの再構築の際い

Networking options.......を選択し

[*] IP: masquerading special modules support .....もチェックした

ここまでは正解だったのです。(後に判る)
ここからはやっちゃダメ(^^;)

きっとdebina だからパッケージがあるんじゃないかな?

$ dpkg -l ipmasq*

Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Installed/Config-files/Unpacked/Failed-config/Half-installed
|/ Err?=(none)/Hold/Reinst-required/X=both-problems (Status,Err: uppercase=bad)
||/ 名前 バージョン 説明
+++-==============-==============-============================================
rc ipmasq 3.4.4 Securely initializes IP Masquerade forwardin

おお。素晴らしい、あるじゃない。流石は debian くん(^o^)

# apt-get install ipmasq..........後に、悪さをしていたのが判明。絶対にインストールしないように!

ipchein フィルター設定を/etc/pcmcia/network.opts の編集して自分流で決める。

# ipchains -n -L コマンドで設定の確認をする。

.....おかしい? 設定通りになってくれない。何度やってもダメ(;_;)

# find / -name ipmasq やってみたら

/etc/init.d/ipmasq
/etc/ipmasq
調べてみると /etc/ipmasq/ruies の中でipchain の設定をやってくれていました。それも、主要なポートを全て開けてしまう様な設定です。 /etc/pcmcia/network.opts の中でセキュリティを考え必要の無いポートを閉ざす設定をしても、それより先に許可されてしまっていたのでした。(-_-;) 早速 apt-get remove ipmasq ! して # ipchains -n -L してみると、思った通りの設定になってくれました。ipcahains の設定なんかは分かり易く書いた方が使い勝手も良いです。ipmasq パッケージを作った?作ってくれた方には申し訳ないが、面倒!判りに難い!!使えない!!!。

■ /etc/pcmcia/network.opts の編集

network.optsの最後に、大凡こんふうに追加しました。

#==========ipchein フィルター設定======================

echo 1 > /proc/sys/net/ipv4/ip_forward

# ---------チェインの初期化

/sbin/ipchains -F input
/sbin/ipchains -F output
/sbin/ipchains -F forward
# チェインのポリシー

/sbin/ipchains -P input DENY
/sbin/ipchains -P forward DENY
/sbin/ipchains -P output ACCEPT
# -----不正なパケットを叩き落す設定-----

# ----- TCP パケット許可するポート設定-----

# ----- TCP パケット拒否するポート設定 ----

# ----- UDP パケット許可するポート設定------

# ----- UDP パケット拒否するタイプを設定設定-----