レス数が1000を超えています。残念ながら全部は表示しません。

くだらない質問はここに書き込め！なんでもアリ6

655 ：名無しさん＠お腹いっぱい。 ：02/02/28 15:17

ipchains について教えてください。
http://www.linux.or.jp/JF/JFdocs/IPCHAINS-HOWTO-7.html
このページを見ながら設定してます。
ただ構成はもっと単純で、

外部ネットワーク(CATV) (BAD)
　　　　　　|
　 　 eth0 |
[ (dhcpで割り当て) ]
[　　　　　　 　　　　　]
[　　 192.168.1.1 　　]
　 　 eth1 |
　　　　　　|
内部ネットワーク (GOOD)

という感じです。

GOOD="192.168.1.0/24"
ANYWHERE="0.0.0.0/0"

ipchains -A input -i ! lo -j DENY
ipchains -A output -i ! lo -j DENY
ipchains -A forward -j DENY

ipchains -A forward -s $GOOD -d $ANYWHERE -j MASQ

ipchains -N good-bad
ipchains -N bad-good
ipchains -N icmp-acc

ipchains -A forward -s $GOOD -i eth0 -j good-bad
ipchains -A forward -i eth1 -j bad-good
ipchains -A forward -j DENY -l

ipchains -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT

ipchains -A bad-good -j REJECT

ipchains -N bad-if
ipchains -N good-if

ipchains -A input -d $BAD -j bad-if
ipchains -A input -d 192.168.1.1 -j good-if

ここまで考えて、$BADにあたるIPアドレスがDHCPで割り当てられるために、
特定できないことに気が付きました。
外部ネットワークからこのルータへのアクセスを制御する
ためにはどうすればいいでしょうか？

やりたいことは、特定のIPアドレスからのアクセスからのみ
FTPのバナーが出るようにし、それ以外の場合はパケット自体が
届かないように見せるということです。
（Linuxに限らないだろうということで、こちらで質問させて
いただきました。板違いなら移動します。。）

read.cgi ver5.26+ (01/10/21-)