やっぱりufw
Arch Linuxでは、iptablesで直接設定していたが、いつまでこの方式が通用するかわからない。それに、Ubuntuではufwを使っているので、そろえたほうがわかりやすい。
# pacman -S ufw
# systemctl stop iptables
# systemctl disable iptables
# systemctl start ufw
# systemctl enable ufw
# ufw allow 22/tcp
# ufw enable
# ufw status verbose
/etc/iptables/iptables.rulesの設定を移していくが、strongswanのVPN設定は、/etc/ufw/before.rulesに追記する。
#*filterセクションに追記
-A ufw-before-forward –match policy –pol ipsec –dir in –proto esp -j ACCEPT
-A ufw-before-forward –match policy –pol ipsec –dir out –proto esp -j ACCEPT
#*natを新設
*nat
-F
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# ufw reload
# iptables -L POSTROUTING -t nat
# iptables -L ufw-before-forward
手間は同じような気がするが、可読性が高いと信じよう。
POSTROUTINGのデフォルトポリシーはACCEPTなので、ACCEPTのターゲットは不要。