日時： 2010/03/23 00:46
名前： neco
URL：

度重なる質問、ご容赦下さい。

現在、一時凌ぎとしてPCルーターを構築中です。
当サイトの手順をそのまま実行した上で、少しばかりIPTABLESのルールを変更しております。
NICを2枚搭載し、それぞれ別のIPで運用しており、下記ルールを設定していますが、なぜか
Google以外のサイトへ遷移できません。(404Notfoundとなります)

Googleもブラウザのキャッシュではなく、検索を実行するところまでは可能ですが、リンク
が出来ません。また、Google以外のサイトはURLを直打ちしても404Notfoundとなります。

下記ファイアウォールの設定に不備などございましたら、ご指摘頂ければ幸いです。

#!/bin/bash

#---------------------------------------#
# 設定開始 #
#---------------------------------------#

# LANインタフェース名定義
LAN1=eth1
LAN2=eth2

# WANインタフェース名定義
WAN=ppp0


# 公開サーバープライベートIPアドレス定義
SERVER0=192.168.11.254
SERVER1=192.168.11.10

#---------------------------------------#
# 設定終了 #
#---------------------------------------#

# 自ホストプライベートIPアドレス取得
IPADDR1=`ifconfig $LAN1|sed -e 's/^.*inet addr:\([^ ]*\).*$/\1/p' -e d`
IPADDR2=`ifconfig $LAN2|sed -e 's/^.*inet addr:\([^ ]*\).*$/\1/p' -e d`

# LANネットマスク取得
LOCALNET_MASK1=`ifconfig $LAN1|sed -e 's/^.*Mask:\([^ ]*\)$/\1/p' -e d`
LOCALNET_MASK2=`ifconfig $LAN2|sed -e 's/^.*Mask:\([^ ]*\)$/\1/p' -e d`

# LANネットワークアドレス取得
LOCALNET_ADDR1=`netstat -rn|grep $LAN1|grep $LOCALNET_MASK1|grep 0.0.0.0|cut -f1 -d' '`
LOCALNET1=$LOCALNET_ADDR1/$LOCALNET_MASK1

LOCALNET_ADDR2=`netstat -rn|grep $LAN2|grep $LOCALNET_MASK2|grep 0.0.0.0|cut -f1 -d' '`
LOCALNET2=$LOCALNET_ADDR2/$LOCALNET_MASK2

# 読み込み対象モジュール追加
sed -i '/IPTABLES_MODULES/d' /etc/sysconfig/iptables-config
modinfo ip_nat_pptp > /dev/null 2>&1
if [ $? -eq 0 ]; then
echo "IPTABLES_MODULES=\"ip_conntrack_ftp ip_nat_ftp ip_nat_pptp\"" >> /etc/sysconfig/iptables-config
else
echo "IPTABLES_MODULES=\"ip_conntrack_ftp ip_nat_ftp\"" >> /etc/sysconfig/iptables-config
fi

# パケット転送停止
# ※ルール設定中のパケット通過防止
sysctl -w net.ipv4.ip_forward=0 > /dev/null

# ファイアウォール停止(すべてのルールをクリア)
/etc/rc.d/init.d/iptables stop

# パスMTU問題対処
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# デフォルトルール(以降のルールにマッチしなかった場合に適用するルール)設定
iptables -P INPUT DROP # 受信はすべて破棄
iptables -P OUTPUT ACCEPT # 送信はすべて許可
iptables -P FORWARD DROP # 通過はすべて破棄

# SYN Cookiesを有効にする
# ※TCP SYN Flood攻撃対策
sysctl -w net.ipv4.tcp_syncookies=1 > /dev/null
sed -i '/net.ipv4.tcp_syncookies/d' /etc/sysctl.conf
echo "net.ipv4.tcp_syncookies=1" >> /etc/sysctl.conf

# ブロードキャストアドレス宛pingには応答しない
# ※Smurf攻撃対策
sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 > /dev/null
sed -i '/net.ipv4.icmp_echo_ignore_broadcasts/d' /etc/sysctl.conf
echo "net.ipv4.icmp_echo_ignore_broadcasts=1" >> /etc/sysctl.conf