ベストアンサー

※ ChatGPTを利用し、要約された質問です（原文：FORWARDチェインについて）

FORWARDチェインとICMPについて悩んでおります。

2013/01/17 22:22

このQ&Aのポイント

FORWARDチェインとは、パケットに処理を加える（NAPT）等を行うために必要な設定です。
iptables -P FORWARD DROPと設定している場合、icmpのルーティング処理だけが必要な場合にはFORWARDのDROPチェインは有効になりません。
ご教授お願いします。

kureakai
お礼率69% (179/256)

Linux系OS
回答数1
ありがとう数0

みんなの回答 （1）
専門家の回答

質問者が選んだベストアンサー

ベストアンサー

anmochi
ベストアンサー率65% (1332/2045)

2013/01/18 01:41 回答No.1

いいえ、なります。むしろその状況でなぜpingが飛ぶのか分からん・・・・。 iptablesの各チェインを（mangleテーブルは省いて）ざっくり説明すると、 1.インバウンド（よそのパソコンから自分へ） 1-1.natテーブルのPREROUTINGチェイン 1-2.filterテーブルのINPUTチェイン 2.アウトバウンド（自分からよそのパソコンへ） 2-1.filterテーブルのOUTPUTチェイン 2-2.natテーブルのOUTPUTチェイン 3.フォワード（よそのパソコンから自分を経由して(=自分は受け取らずに)よそのパソコンへ） 3-1.natテーブルのPREROUTINGチェイン 3-2.filterテーブルのFORWARDチェイン 3-3.natテーブルのPOSTROUTINGチェインという順番で処理がなされる。質問者の192.168.1.1から10.10.10.1へのpingは、上記の3-2でFORWARDチェインのDROPポリシーによって阻まれるはず。ICMPもIPの一部であるが階層上はIPの上で動作しているのでIPルーティングのルールに従う。 PREROUTINGでDNATをしていたとしてもFORWARDチェインをバイパスできるとは思えないのだが、natテーブルの方はどうなっているだろうか。 # iptables -t nat -L -v で確認してみてほしい。念のために聞いておくと、まさか192.168.1.1または10.10.10.1がIPTABLES linux ルータ（CentOS6.3)という事はないよね。

質問者

補足 2013/01/19 00:39

情報ありがとうございます。調べてみた所、FORWARD、NATにルールが3つほどついていました。後は、INPUT,OUTPUTチェインが数行あるだけです。 (1)iptables -A FORWARD -i eth2 -o 10.10.10.253 -s 192.168.1.0/24 -j ACCEPT (2)iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT (3)iptables -t nat -A POSTROUTING -o 10.10.10.253 -s 192.168.1.0/24 -j MASQUERADE <詳細図> 10.10.10.1 　| 　|10.10.10.0/24 　| eth0(10.10.10.253) =========================== IPTABLES linux ルータ（CentOS6.3) =========================== eth2(192.168.1.254) eth1(172.16.1.254) 　|　　　　　　　　　　　| 　|192.168.1.0/24　　　　|172.16.1.0/24 　|　　　　　　　　　　　| 192.168.1.1/32(PC)　　　172.16.1.1/32(PC) <iptables -t nat -L -v　結果> Chain PREROUTING (policy ACCEPT 1448 packets, 87875 bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 50 packets, 4039 bytes) pkts bytes target prot opt in out source destination 1226 68846 MASQUERADE all -- any eth0 192.168.1.0/24 anywhere Chain OUTPUT (policy ACCEPT 33 packets, 2475 bytes) pkts bytes target prot opt in out source destination 質問1:結果を見ると、POSTROUTINGで、inがanyになっているため、「192.168.1.0/24」、「172.16.1.1/24」からicmpが通るのでしょうか。質問2：なぜanyになってしまっているのでしょうか。 (2)(3)のルールでanyになるような設定を知らず知らずのうちに記述しているのでしょうか

FORWARDチェインとICMPについて悩んでおります。

FORWARDチェインについて

質問者が選んだベストアンサー

補足 2013/01/19 00:39

関連するQ&A

linuxのルーティング処理

NAPTとPING

iptablesによるパケットフィルタ

ポートフォワードについて

iptablesの[カッコ]の意味を教えて下さい

ファイアウォールとしてping of deathの設定をしたいです

iptablesのログ記述について

LINUXのiptablesについて

iptableコマンドを複数記載したスクリプトを実行したいです。

iptablesの設定　NetBiosについて

iptablesにてRDPが通らない。

iptablesについて

iptablesのPolicyについて

iptablesの設定について

RedHatで構築したファイアウォールサーバのDMZにアクセスできない

ルーティング情報について

L3スイッチ　ルータの機能

このping ルーティングが理解できません

iptablesの記述方法

CentOS6.5のiptablesについて

注目のQ&A

カテゴリ

あなたにピッタリな商品が見つかる！ OKWAVE セレクト

専門家に質問してみよう

FORWARDチェインとICMPについて悩んでおります。

FORWARDチェインについて

質問者が選んだベストアンサー

補足 2013/01/19 00:39

関連するQ&A

linuxのルーティング処理

NAPTとPING

iptablesによるパケットフィルタ

ポートフォワードについて

iptablesの[カッコ]の意味を教えて下さい

ファイアウォールとしてping of deathの設定をしたいです

iptablesのログ記述について

LINUXのiptablesについて

iptableコマンドを複数記載したスクリプトを実行したいです。

iptablesの設定 NetBiosについて

iptablesにてRDPが通らない。

iptablesについて

iptablesのPolicyについて

iptablesの設定について

RedHatで構築したファイアウォールサーバのDMZにアクセスできない

ルーティング情報について

L3スイッチ ルータの機能

このping ルーティングが理解できません

iptablesの記述方法

CentOS6.5のiptablesについて

注目のQ&A

カテゴリ

あなたにピッタリな商品が見つかる！ OKWAVE セレクト

専門家に質問してみよう

iptablesの設定　NetBiosについて

L3スイッチ　ルータの機能