iptable-ローカルネットワークからのアウトバウンドトラフィックの設定

Question

CentOSをベースにしたClearOSボックスを再インストールしました。以前のインストールは3年間問題なく実行されましたが、問題が発生することなく、このインストールで何かを誤って構成した可能性があります。

コンテンツフィルタリングが無効になっている場合、インターネットの閲覧は機能しません。以前はプロキシを経由せずに閲覧できましたが、Webプロキシが有効になっていないと機能しなくなりました。 sshトラフィックのIdem。
これははるかに深刻です。ローカルネットワークは外部のsshサーバーに接続できません。ポート22は許可されていないようですが、すべての外部トラフィックを許可するようにファイアウォールを設定しています。

以下に掲載されている関連する設定、ルートとiptablesのリスト。

iptable：

[root@alcastraz ~]# iptables --list -n -v Chain INPUT (policy DROP 223 packets, 9229 bytes) pkts bytes target prot opt in out source destination 0 0 DROP all -- eth0 * 0.0.0.0/0 46.241.27.20 0 0 DROP all -- eth0 * 46.241.27.20 0.0.0.0/0 0 0 DROP all -- eth0 * 0.0.0.0/0 196.29.120.73 0 0 DROP all -- eth0 * 196.29.120.73 0.0.0.0/0 88 3768 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x12/0x12 state NEW reject-with tcp-reset 18 1602 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW 0 0 DROP all -- eth0 * 127.0.0.0/8 0.0.0.0/0 0 0 DROP all -- eth0 * 169.254.0.0/16 0.0.0.0/0 9422 2499K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- pptp+ * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- tun+ * 0.0.0.0/0 0.0.0.0/0 14099 2515K ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT udp -- eth2 * 0.0.0.0/0 192.168.0.50 udp spt:68 dpt:67 0 0 ACCEPT tcp -- eth2 * 0.0.0.0/0 192.168.0.50 tcp spt:68 dpt:67 0 0 ACCEPT udp -- eth2 * 192.168.0.0/24 192.168.0.50 udp dpt:53 0 0 ACCEPT tcp -- eth2 * 192.168.0.0/24 192.168.0.50 tcp dpt:53 35 1015 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 0 0 0 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 3 0 0 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 8 0 0 ACCEPT icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmp type 11 76 25624 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:67 dpt:68 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.50 tcp dpt:80 0 0 ACCEPT tcp -- * * 0.0.0.0/0 96.22.88.25 tcp dpt:80 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.50 tcp dpt:443 0 0 ACCEPT tcp -- * * 0.0.0.0/0 96.22.88.25 tcp dpt:443 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.50 tcp dpt:22 0 0 ACCEPT tcp -- * * 0.0.0.0/0 96.22.88.25 tcp dpt:22 0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.0.50 tcp dpt:1875 0 0 ACCEPT tcp -- * * 0.0.0.0/0 96.22.88.25 tcp dpt:1875 0 0 ACCEPT udp -- eth2 * 0.0.0.0/0 0.0.0.0/0 udp dpts:1024:65535 state RELATED,ESTABLISHED 0 0 ACCEPT tcp -- eth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 state RELATED,ESTABLISHED 438 56397 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:1024:65535 state RELATED,ESTABLISHED 18645 6458K ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 state RELATED,ESTABLISHED Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 DROP all -- eth0 * 0.0.0.0/0 46.241.27.20 0 0 DROP all -- eth0 * 46.241.27.20 0.0.0.0/0 0 0 DROP all -- eth0 * 0.0.0.0/0 196.29.120.73 0 0 DROP all -- eth0 * 196.29.120.73 0.0.0.0/0 0 0 ACCEPT icmp -- * * 192.168.0.0/24 0.0.0.0/0 icmp type 0 0 0 ACCEPT icmp -- * * 0.0.0.0/0 192.168.0.0/24 icmp type 0 0 0 ACCEPT icmp -- * * 192.168.0.0/24 0.0.0.0/0 icmp type 3 0 0 ACCEPT icmp -- * * 0.0.0.0/0 192.168.0.0/24 icmp type 3 4 336 ACCEPT icmp -- * * 192.168.0.0/24 0.0.0.0/0 icmp type 8 0 0 ACCEPT icmp -- * * 0.0.0.0/0 192.168.0.0/24 icmp type 8 0 0 ACCEPT icmp -- * * 192.168.0.0/24 0.0.0.0/0 icmp type 11 0 0 ACCEPT icmp -- * * 0.0.0.0/0 192.168.0.0/24 icmp type 11 0 0 DROP icmp -- * * 192.168.0.0/24 0.0.0.0/0 0 0 DROP icmp -- * * 0.0.0.0/0 192.168.0.0/24 0 0 ACCEPT all -- * * 192.168.0.0/24 192.168.0.0/24 state RELATED,ESTABLISHED 0 0 DROP all -- * * 192.168.0.0/24 192.168.0.0/24 0 0 ACCEPT all -- * * 192.168.0.0/24 192.168.0.0/24 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT all -- eth2 * 0.0.0.0/0 0.0.0.0/0 84 4754 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- pptp+ * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- tun+ * 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 9440 2500K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- * pptp+ 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- * tun+ 0.0.0.0/0 0.0.0.0/0 15382 6989K ACCEPT all -- * eth1 0.0.0.0/0 0.0.0.0/0 35 1015 ACCEPT icmp -- * eth0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67 0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp spt:68 dpt:67 0 0 ACCEPT tcp -- * eth2 192.168.0.50 0.0.0.0/0 tcp spt:80 0 0 ACCEPT tcp -- * eth0 96.22.88.25 0.0.0.0/0 tcp spt:80 0 0 ACCEPT tcp -- * eth2 192.168.0.50 0.0.0.0/0 tcp spt:443 0 0 ACCEPT tcp -- * eth0 96.22.88.25 0.0.0.0/0 tcp spt:443 0 0 ACCEPT tcp -- * eth2 192.168.0.50 0.0.0.0/0 tcp spt:22 0 0 ACCEPT tcp -- * eth0 96.22.88.25 0.0.0.0/0 tcp spt:22 0 0 ACCEPT tcp -- * eth2 192.168.0.50 0.0.0.0/0 tcp spt:1875 0 0 ACCEPT tcp -- * eth0 96.22.88.25 0.0.0.0/0 tcp spt:1875 0 0 ACCEPT all -- * eth2 0.0.0.0/0 0.0.0.0/0 21153 3140K ACCEPT all -- * eth0 0.0.0.0/0 0.0.0.0/0 Chain drop-lan (0 references) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

ルート：

[root@alcastraz ~]# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.0.0 * 255.255.255.0 U 0 0 0 eth1 192.168.0.0 * 255.255.255.0 U 0 0 0 eth2 96.22.88.0 * 255.255.255.0 U 0 0 0 eth0 default modemcable001.8 0.0.0.0 UG 0 0 0 eth0

これを解決するためのヘルプや情報をいただければ幸いです。

ありがとう！

Mei · Accepted Answer

これは手作りのルールのセットですか？

飛び出すものの1つ：ネットワーク192.168.0.0/24は2つのインターフェース上にあります：eth1およびeth2-これはほぼ間違いなくあなたが望むものではありません。

一般的なデバッグには、次のコマンドを使用することもできます。

watch -d iptables -L -v -n

（またはその変形。）次に、トラフィックが流れるにつれてパケットが増加するのを見ることができます。これは、外部トラフィックがあまりない低トラフィックネットワークにのみ適しています。

もう1つの方法は、一部のファイアウォールエントリのログをオンにすることです。LOGターゲット拡張子を使用します。

もう1つのこと：カウントをリセットして、何がドロップされているかを確認します。さらに良いことに、そのLOGターゲットをDROPのルールと組み合わせて使用します。リストには、一致してパケットをドロップしたルールが2つだけあります（ルールをコンテキストから外します）。

Chain INPUT (policy DROP 223 packets, 9229 bytes) pkts bytes target prot opt in out source destination 88 3768 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 18 1602 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW

おそらくこれらは調査されるべきですか？

その混乱を完全に回避するには、優れたGUIベースのマルチファイアウォールデザイナーである Firewall Builder を使用することをお勧めします。ファイアウォールはどこにでも設計でき、それが機能する場所に配置できます。fwbuilderには、ファイアウォールをリモートホストにプッシュする方法もあります。

BillThor · Answer

ファイアウォールビルダーを使用してファイアウォールを生成することを検討します。十分に文書化されており、いくつかの良い例の構成があるShorewallのようなものは、あなたの生活を楽にするかもしれません。簡単に調べると、3つのインターフェイス（ゾーン）構成が出発点として適している場合があります。 shorewallの主要なファイルは、ゾーン、インターフェイス、ホスト、ポリシー、およびルールです。ポートではなく名前でコメント付きルールを生成するマクロがいくつかあります。

通常あなたのstate RELATED,ESTABLISHEDルールはリストの一番上にあります。さまざまなトラフィックフローに個別のチェーンを使用すると、何が起こっているのかを理解するのに役立つ場合があります。

2つのアドレスだけがポート80へのオープンアクセスを持っているようです。これはブラウジングの問題を説明します。 1つはコンテンツフィルターである必要があります。もう1つは、コンテンツフィルタをバイパスして参照できたアドレスである可能性があります。