読者です 読者をやめる 読者になる 読者になる

なんかてきとうに

わりと個人的な忘備録的ですよ。

Firewallの設定は難しい。

大体題意の通りなのですが。

Firewallなら大抵NAT機能なんかも普通についていて、結構頭が良い。

それだけに、設定値をどうすればいいのかみたいなところが、癖みたいなのを知ってないと苦労するような気がする。という話。

とあるFirewallがEOSになるからと、ルータに乗せ換える設計をしていましたが、

FirewallでNATしていると、NAT変換後のIPアドレスをベースにルールを書くのか、NAT変換前のIPアドレスをベースにルールを書くのか

みたいなところにズレが生じたり、ルールを設定できる箇所が違ったり。

なんだかいろいろ面倒だなぁという感じです。

Linuxiptables触っていると、

  1. パケットがインターフェースに着信する。
  2. 着信インターフェースにてPREROUTINGプロセスが走る
  3. 着信インターフェースにてINPUTフィルターが動作する
  4. FORWARDされる
  5. 発信インターフェースにてOUTPUTフィルターが動作する
  6. 発信インターフェースにてPOSTROUGINGプロセスが走る

みたいな動作をして NATアドレス変換はPREROUTINGとPOSTROUTINGで行われるので、 イメージ的にはルーティングプロセス内IPアドレスと、実世界IPアドレスみたいなのがあって、 フィルターはルーティングプロセス内IPアドレスに対して行う。 というのが正解なんだけれど、

NATアドレス変換後というか、実世界IPアドレスにてルールを設定するFirewallというのに出会って苦労しました。