princess.ike.tottori-u.ac.jp (Firewall&Gateway&DHCP Server)

大学院棟(7452) 実験用LANとInternetを繋ぐルーター, DHCP Server

Information

Host Name: princess
CPU: Pentium 166MHz
Memory: 128MB?
Hard Disk: QUANTUM FIREBALL1280A(hda)
WDC AC31600H(hdb)
Operation System: Vine Linux 2.5
Ethernet - WAN: 160.15.192.157(eth0) / princess.ike.tottori-u.ac.jp
Ethernet - LAN: 192.168.0.254(eth1) / princess.jikken

Security

Administrator: kkatayam
Network Access: Firewall を参照
User Account: 管理者以外のアカウントは登録されていません。よって、管理者以外は操作不可です。

Firewall, Gateway

iptablesを使用

Default Policy

許可されたルールに当てはまらないすべてのパケットを拒否

LAN, princess → WAN

発信先がプライベートアドレスで、WAN側へ出て行くパケットを拒否

LAN → WAN

iptablesによるIP Masqueradeで内部(LAN)と外部(WAN)を接続

princess → WAN

すべて許可

WAN → LAN, princess

発信元がプライベートアドレスを持ち、WAN側から入ってくるパケットを拒否

WAN → LAN

Established,Relatedなパケットのみ許可
FTPはip_conntrack_ftp,ip_nat_ftpモジュールによりパッシブモードでなくても使用可能
その他、LAN側から発信されたパケットに関連していると判断されたパケットも許可

WAN → princess

160.15.192.1(Gateway)からのブロードキャスト(RIP)を拒否
160.15.192.1からのマルチキャストを拒否
学科内からの ssh のみ許可

拒否されたパケットに関する情報はsyslogdによって保存される。(160.15.192.1からのブロードキャスト・マルチキャストは除く)
詳細は princess:/etc/iptables-rules を参照。

DHCP Server

内部用DHCPサーバー

Interface: eth1(LAN) only
IP Address Range: 192.168.0.128 - 192.168.0.191
Lease Time: 86,400(1 day)
Max Lease Time: 604,800(7 days)

appendix

学科内
160.15.30.0/24, 160.15.32.0/24, 160.15.33.0/24, 160.15.34.0/24, 160.15.35.0/24, 160.15.36.0/24, 160.15.37.0/24, 160.15.40.0/24, 160.15.43.0/24

プライベートアドレス
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16

kkatayam@ike.tottori-u.ac.jp