レスどうもです!

On Thu, 17 Jun 2004 20:44:52 +0900
"L. Zhao" <see_the_message@none.jp> wrote:
> カーネル構築自体は難しくありませんが,ほかのソフトとの
> 整合性を考えると,確かに難しいところもありますね.
> #でも初心者から中級者へパワーアップするには必要でしょう.

なるほどなるほど…


> > iptables -A INPUT -m state --state ESTABLISHE,RELATED -j ACCEPT
> > は要らないかな〜と思い始めた今日この頃なんですが、この項目は一般的にFT
> > P以外の接続でも使用するものなのでしょうか?
> > 使わないのなら、sftp使うから、いらないかな…と(苦笑)
> 
> 結果的にその通りだと思います.パフォーマンスは多少上がる
> はずですが,実際に気になるレベルでもない可能性が高いです.
> 外してみて支障がなければそれでいいでしょう.

_〆(。。)メモメモ…

ちなみに、iptablesで、INPUTのポリシーをDROPにすると、なぜかDNSの名前解決
が出来ないんですけど、やっぱり
iptables -A INPUT -m state --state ESTABLISHE,RELATED -j ACCEPT
が必要なんでしょうか?(泣)


具体的には……↓
----
hogehoge:~# iptables -L                 ■iptablesの現状を表示
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere       (※loを許可)
ACCEPT     icmp --  anywhere             hogehoge
ACCEPT     tcp  --  anywhere             hogehoge            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             hogehoge            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             hogehoge            tcp dpt:pop3
ACCEPT     tcp  --  anywhere             hogehoge            tcp dpt:www
ACCEPT     tcp  --  anywhere             hogehoge            tcp dpt:https
ACCEPT     tcp  --  anywhere             hogehoge            tcp dpt:domain
ACCEPT     udp  --  anywhere             hogehoge            udp dpt:domain

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


hogehoge:~# ping www.google.co.jp       ■googleにPING通らず
ping: unknown host www.google.co.jp

hogehoge:~# iptables -P INPUT ACCEPT    ■INPUTをACCEPTに

hogehoge:~# ping www.google.co.jp       ■再度googleにPINGで通る
PING www.google.akadns.net (216.239.57.99): 56 data bytes
64 bytes from 216.239.57.99: icmp_seq=0 ttl=238 time=126.8 ms
64 bytes from 216.239.57.99: icmp_seq=1 ttl=238 time=125.1 ms
64 bytes from 216.239.57.99: icmp_seq=2 ttl=238 time=125.6 ms
--- www.google.akadns.net ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 125.1/125.8/126.8 ms

hogehoge:~# iptables -P INPUT DROP      ■INPUTをDROPに

hogehoge:~# ping www.google.co.jp       ■やはりgoogleにPING通らず
ping: unknown host www.google.co.jp

hogehoge:~# ping 216.239.57.99          ■IP指定でPINGは通る
PING 216.239.57.99 (216.239.57.99): 56 data bytes
64 bytes from 216.239.57.99: icmp_seq=0 ttl=238 time=125.7 ms
64 bytes from 216.239.57.99: icmp_seq=1 ttl=238 time=124.6 ms
64 bytes from 216.239.57.99: icmp_seq=2 ttl=238 time=123.7 ms
64 bytes from 216.239.57.99: icmp_seq=3 ttl=238 time=123.6 ms
--- 216.239.57.99 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 123.6/124.4/125.7 ms


ということで、iptablesのINPUTを制限すると名前解決が出来ないんですけど、
これって何か私の設定が間違ってるんでしょうか?

なんか、聞いてばっかりで申し訳ないのですが、外部から発信のパケットを制限
してなんで名前解決が出来ないのか?(゜_。)?(。_゜)?な状態なんで、申し訳あ
りませんがどなたかわかりましたらアドバイス頂ければと思います。m(..)m

-----


-- 
 後藤 (MailはWORM_SWEN.A対策で省略中)