• ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:FORWARDチェインについて)

FORWARDチェインとICMPについて悩んでおります。

このQ&Aのポイント
  • FORWARDチェインとは、パケットに処理を加える(NAPT)等を行うために必要な設定です。
  • iptables -P FORWARD DROPと設定している場合、icmpのルーティング処理だけが必要な場合にはFORWARDのDROPチェインは有効になりません。
  • ご教授お願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • anmochi
  • ベストアンサー率65% (1332/2045)
回答No.1

いいえ、なります。むしろその状況でなぜpingが飛ぶのか分からん・・・・。 iptablesの各チェインを(mangleテーブルは省いて)ざっくり説明すると、 1.インバウンド(よそのパソコンから自分へ) 1-1.natテーブルのPREROUTINGチェイン 1-2.filterテーブルのINPUTチェイン 2.アウトバウンド(自分からよそのパソコンへ) 2-1.filterテーブルのOUTPUTチェイン 2-2.natテーブルのOUTPUTチェイン 3.フォワード(よそのパソコンから自分を経由して(=自分は受け取らずに)よそのパソコンへ) 3-1.natテーブルのPREROUTINGチェイン 3-2.filterテーブルのFORWARDチェイン 3-3.natテーブルのPOSTROUTINGチェイン という順番で処理がなされる。 質問者の192.168.1.1から10.10.10.1へのpingは、上記の3-2でFORWARDチェインのDROPポリシーによって阻まれるはず。ICMPもIPの一部であるが階層上はIPの上で動作しているのでIPルーティングのルールに従う。 PREROUTINGでDNATをしていたとしてもFORWARDチェインをバイパスできるとは思えないのだが、natテーブルの方はどうなっているだろうか。 # iptables -t nat -L -v で確認してみてほしい。 念のために聞いておくと、まさか192.168.1.1または10.10.10.1がIPTABLES linux ルータ(CentOS6.3)という事はないよね。

kureakai
質問者

補足

情報ありがとうございます。 調べてみた所、FORWARD、NATにルールが3つほどついていました。 後は、INPUT,OUTPUTチェインが数行あるだけです。 (1)iptables -A FORWARD -i eth2 -o 10.10.10.253 -s 192.168.1.0/24 -j ACCEPT (2)iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT (3)iptables -t nat -A POSTROUTING -o 10.10.10.253 -s 192.168.1.0/24 -j MASQUERADE <詳細図> 10.10.10.1  |  |10.10.10.0/24  | eth0(10.10.10.253) =========================== IPTABLES linux ルータ(CentOS6.3) =========================== eth2(192.168.1.254) eth1(172.16.1.254)  |           |  |192.168.1.0/24    |172.16.1.0/24  |           | 192.168.1.1/32(PC)   172.16.1.1/32(PC) <iptables -t nat -L -v 結果> Chain PREROUTING (policy ACCEPT 1448 packets, 87875 bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 50 packets, 4039 bytes) pkts bytes target prot opt in out source destination 1226 68846 MASQUERADE all -- any eth0 192.168.1.0/24 anywhere Chain OUTPUT (policy ACCEPT 33 packets, 2475 bytes) pkts bytes target prot opt in out source destination 質問1:結果を見ると、POSTROUTINGで、inがanyになっているため、 「192.168.1.0/24」、「172.16.1.1/24」からicmpが通るのでしょうか。 質問2:なぜanyになってしまっているのでしょうか。 (2)(3)のルールでanyになるような設定を知らず知らずのうちに記述しているのでしょうか

すると、全ての回答が全文表示されます。
  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Linux系OS

関連するQ&A

注目のQ&A

カテゴリ

OKWAVE コラム

あなたにピッタリな商品が見つかる! OKWAVE セレクト

専門家に質問してみよう

職業から探して質問する
質問する