07/02/06 16:58:24
>>404
またもや言葉不足で・・・・
どうも私は、正確に必要な情報をお伝えするのが不得手なようです
NTTに固定1というサービス名があるのをすっかり忘れていました。
IPsecのために固定IPを1コ取って、ip pp address 211.212.213.24(仮)/32してます。
(ちなみにISPはAsahiです)
私も最初は192.168.100.200がDNS Queryを出すモノとばかり思っていたのですが、
実際には、ログを見ると211.212.213.24(仮)がDNS鯖にQueryを出していました。
従って、outのフィルタ110番は、
ip filter 110 pass-log 211.212.213.24(仮) * tcp,udp * domain
となっています。
natの設定自体も、実はフィルタ以前にnatで弾かれていたので付け加えたのですが。
始点が211.212.213.24(仮)なのに、帰りのパケットの終点が192.168.100.200に変わってるのが問題です。
分かりやすくログを書き直すと、
PP[01] Passed at OUT(110) filter: UDP 211.212.213.24(仮):53 > 210.210.210.20(仮):53 (DNS Query [xxxx.com] from 192.168.100.200)
PP[01] Rejected at IN(default) filter: UDP 210.210.210.20:53 > 192.168.100.200:53 (DNS response)
もう、素直にip filter 111 pass 210.210.210.20 192.168.100.200 udp 53 53 を付け加えます。
お付き合い頂き、感謝です。