Firewall

firewall/IP masquarade を行う為のカーネルの設定です。


kernelの再構築

  1. kernelの設定
    2.2.6での設定です。PPPを使う場合はNetwork device supportでPPPを[M]にします。
    <*> Packet socket
    [*] Kernel/User netlink socket
    [*] Routing messages
    <*> Netlink device emulation
    [*] Network firewalls
    [*] Socket Filtering
    <*> Unix domain sockets
    [*] TCP/IP networking
    [ ] IP: multicasting
    [*] IP: advanced router
    [*] IP: policy routing
    [ ] IP: equal cost multipath
    [ ] IP: use TOS value as routing key
    [ ] IP: verbose route monitoring
    [*] IP: large routing tables
    [*] IP: fast network address translation
    [*] IP: kernel level autoconfiguration
    [ ]       BOOTP support
    [ ]       RARP support
    [*] IP: firewalling
    [*] IP: firewall packet netlink device
    [*] IP: always defragment (required for masquerading)
    [*] IP: use FWMARK value as routing key
    [*] IP: transparent proxy support
    [*] IP: masquerading
    --- Protocol-specific masquerading support will be built as modules.
    [*] IP: ICMP masquerading
    --- Protocol-specific masquerading support will be built as modules.
    [*] IP: masquerading special modules support
     IP: ipautofw masq support (EXPERIMENTAL)
     IP: ipportfw masq support (EXPERIMENTAL)
     IP: ip fwmark masq-forwarding support (EXPERIMENTAL)
    [*] IP: optimize as router not host
    < > IP: tunneling
    < > IP: GRE tunnels over IP
    [*] IP: aliasing support
    [*] IP: ARP daemon support (EXPERIMENTAL)
    [*] IP: TCP syncookie support (not enabled per default)                  
    
  2. /etc/conf.modulesに追加

    /etc/conf.modules

    alias net-pf-4 off
    alias net-pf-5 off
    
    alias ppp-compress-24 off
    alias ppp-compress-26 off
    
  3. /etc/rc.d/rc.modulesに追加

    /etc/rc.d/rc.modules

    /sbin/modprobe ip_masq_ftp.o
    /sbin/modprobe ip_masq_raudio.o
    /sbin/modprobe ip_masq_irc.o
    /sbin/modprobe ip_masq_cuseeme.o
    /sbin/modprobe ip_masq_vdolive.o
    
    

ipchainsのインストール

ここはインストールと動作開始までで、細かいルール設定はPPP接続の項に示します。
  1. ipchainsをインストール
    IP firewall の設定をするためにipchainsをインストールします。
    kernel2.0ではipfwadmを使用しましたが、2.1以降はipchainsで設定する事になります。 kernel2.0 + ipfwadmですでに動作させているという場合はipchainsのDocumentにコマンド対応表がついていますので、苦労無く乗り換えられると思います。
  2. とりあえず ./configure ; make ; make install
  3. IPCHAINS-HOWTO を熟読する。
  4. 5.1 Masquerading/forwarding doesn't work!書いてある通り、
    /proc/sys/net/ipv4/ip_forward を1にするコマンドをrc.localに追加する

    /etc/rc.d/rc.local

    #
    # enable IP Fowarding
    #
    if [ -e /proc/sys/net/ipv4/ip_forward ]; then
            echo -n "Setting up IP forwarding..."
            echo 1 > /proc/sys/net/ipv4/ip_forward
            echo "done."
    fi
    

戻る