粟飯島です M. Takeyama(takezou) wrote:
M. Takeyamaです。
On Wed, 12 Jan 2005 15:25:41 +0900 Katsuaki AWAIISHIMA
wrote: 粟飯島と申します
SUSE 9.2 Pro 版の SUSEFirewall について質問させてください。
「同一セグメントであっても特定のホスト以外からの特定の サービスへの接続を不許可に」というルールを yast から 作成することは可能でしょうか。 Firewall が動作しているホストそのものへの接続での話しです。
突っ込みを入れるようで申し訳ないのですが...
(1)ケース1(手が2本以上出ているケース) セグメント1(仮で外側) セグメント2(仮で内側) ----------------------[SUSE 9.2Pro]-----------------------
(2)ケース2 セグメント1 ----------------------[SUSE 9.2Pro]
より具体的なポリシールールを示してくれたほうが... 例として 80, 443(web)ポートを利用したり、 ソース(IP, Networkとか)とディストネ−ション(IP, Network) を仮想IPでもよいです。
シンプルに質問しようとして漠然としすぎましたかね。 同一セグメントの中でとだけ限定していましたし、 図で書くほどのものじゃないと思ったものですから、すみません。 172.16.17.0/24 ____________________________________________________ | | | 172.16.17.23(a) 172.16.17.34(b) 172.16.17.45(SUSE) (上記は全部適当)この状態で、 1. a からは SUSE の ssh に接続できる 2. b からは接続できない こう設定したいのです。と書きましたが
やったことないですけど。 ・yastからできないけどcustomファイルをいじればできそう。
・yast(/etc/sysconfig エディター)からでもできそうですけど。 #ルールがわからないの判断がつかない。(& 検証もできない)
ちなみに、やりたいことって、多分、xinetd, SuSEfirewall2+xinetd という方法論でもできそうですけどね。 #yast からだと xinetd 設定できませんから、YASTの閉じた世界で問題 #解決したいのであれば。やはり SuSEfirewall2のみというですよね。
ああ、なるほど、ここまで読んでわかりました。 SuSEfirewall2 のコマンドの中で、 FW_CUSTOMRULES ってのでファイル定義すれば読んでくれるんですね。 これなら yast で設定変えても使えるし、yast の動作に影響を 与えることもなくすみそうです。 逆に考えるとこれを定義できるってことは凝った設定はこっちに 書けということですね。 ありがとうございました。
----- M. Takeyama __________________________________ Do You Yahoo!? Upgrade Your Life http://bb.yahoo.co.jp/