10/03/18
とりあえずファイアーウォールのテストが完了しました。
前回の記事で載せたように、ファイアーウォール機によってセグメントを分け、まずWebサーバー機を配置しiptablesの設定をしました。
設定には以下のページの記事＃３〜５を参考にして行いました。
→@markITのLinuxセキュリティのページ
設定は割と簡単なのですが、いざやってみるとなかなかうまくいきませんでした…。テストとしてWebサーバー機でファイアーウォール機を通じた(本当はやらないことですが)インターネット接続を確立しました。ですが、入力のミスや、ちょっとした記入漏れなどによって悩まされました。
現状はファイアーウォール機によってNATされ、うまくつながっています。(クライアント機を内部セグメント側に設置する際に設定は戻します。)上記の@markITのページをよく読めば大体の事は分かりますが、僕がひっかかった内容を参考までにupしておきます。

1. -m state --state ESTABLISHED,RELATEDをうまく使用する。
--state ESTABLISHED,RELATEDは初期パケットが了承された通信に対して、関連する情報を以降無条件で許可するという非常に使えるオプションです。
2. DNS問い合わせのプロトコルはUDPである。
3. インターネット上に存在するすべてのアドレスを示すアドレス(僕の場合は、0.0.0.0を利用しようとしました)が、うまく設定できない場合もありました。
逆にすべてのアドレスに向けて発信するものは、送信先IPアドレスをいちいち記述する必要はないですね…。