パソコンとカメラの日々

2004/06/21

ipfw

弟がMMPRPGをやるというので設置したNAPTだが、実は全てのパケットを通過させるという設定だった。これすなわち、ウィルスに感染したマ シンからばらまかれるパケットも、そのまま通してしまうということだ。いくらなんでもこれでは社会の迷惑なので、NAPTマシンであるFreeBSDの ipfwを設定してみた。いじったファイルは/etc/rc.firewallである。
 /sbin/ipfw -f flush
/sbin/ipfw add pass all from 192.168.1.0/24 to グローバルIPブロック
/sbin/ipfw add pass all from グローバルIPブロック to 192.168.1.0/24
/sbin/ipfw add divert natd all from any to any via dc0
/sbin/ipfw add pass all from 弟マシンのIPアドレス to any
/sbin/ipfw add pass all from any to 弟マシンのIPアドレス
/sbin/ipfw add pass tcp from any 110 to 私マシンのIPアドレス
/sbin/ipfw add pass tcp from 私マシンのIPアドレス to any 110
/sbin/ipfw add pass all from any to me
/sbin/ipfw add pass all from me to any

我が家のLANは、グローバルIPアドレスとプライベートIPアドレスのふたつのセグメントで構成されている。まずは最初の2行で、このふたつのセグメント間のパケット交換を許可した。

3行目が、NAPTを有効にする設定だ。で、NAPTを経由した場合でも、このファイルで同じように設定できるようだ。4~5行目が弟のマシン 用。 MMPRPGだとどのポートを使うのかいまひとつはっきりしないので、とりあえず全部開けてある。いちおうNorton Anti Virusは入れてあるし、それなりにPCをいじくる経験も長いのでなんとかなるだろう。

6~7行目は外部のサーバーからPOP3でメールを取ってくるための設定。普通はNAPTマシンがメールサーバーを兼ねているので必要ない。しかし私がローカルなマシンでpopfileの実験をやっている都合で開けてある。

で、最後に自分自身にくるパケットと、自分自身が発信するパケットを許可。残りはデフォルトで不許可なので、中から外に出て行くパケットはほとんどなくなるはず。

ラベル: , , , ,

0 件のコメント:

コメントを投稿

登録 コメントの投稿 [Atom]



<< ホーム