サーバ設定に行き詰まっています。
今回はNIC3枚差しで、1枚はインターネット側に、もう2枚はローカルで、そのうちの1枚は一般向け、もう1枚がサーバ管理向け、という構成でセットアップしているのですが、ローカル側でのルーティング(フォワーディング)の設定が分からず困っています。
もう少し詳しく書くと、こういった構成を考えています。
LAN1 / eth0 : 192.168.10.0/24 gateway 192.168.10.1
LAN2 / eth1 : 192.168.20.0/24 gateway 192.168.20.1
WAN / eth2 : 10.1.1.0/29 gateway 10.1.1.1
LAN1もLAN2も、WAN側をへ通過でき、LAN1からLAN2は通過できるけどLAN2からLAN1は特定ポートが通過できないような仕組みにしたいのです。
現在iptablesは全てACCEPTしていて、pingは
○ LAN1→etc0→SV→etc2→WAN
○ LAN2→eth1→SV→etc2→WAN
× LAN1→eth0→SV→etc1→LAN2
× LAN2→eth1→SV→etc0→LAN1
という状況です。
「ルーティング」の仕組みについてしっかりと理解していないと思うのですが、このような場合「スタティックルーティング」でLAN1←→LAN2の橋渡しをするゲートウェイが必要なのではないかと思うのですが、routeの設定をいくらいろんな数値でやってもうまくいかないのです。例えば
route add -net 192.168.10.0/24 gw 192.168.20.1 dev eth1
route add -net 192.168.20.0/24 gw 192.168.10.1 dev eth0
route add -net 192.168.10.0/24 gw 192.168.20.2 dev eth1
route add -net 192.168.20.0/24 gw 192.168.10.2 dev eth0
とかやってみましたがダメです。
そもそも、セグメント越えの概念はやめたほうがいいんですかね?
相当ネットで検索していろんな設定を調べたんですが、全く分からないです。
従来通りLAN側を一緒にしてしまっても良いのですが、出来れば一般社員にSSH等を使わせたくないんですよね…
将来的にVPNとかもやりたいので、セグメントを分け出来ないとかなり困るなぁ…
どなたかネットワーク構築に詳しい方、アドバイスをいただけると嬉しいです。
こんにちは、ichikaway(cakephper)です。
すでに解決してしまっているかもしれませんが、ルータとなるマシンは、/etc/sysctl.confに
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 1
を書いてリブートするだけで、特にルーティング設定は必要ないのではないでしょうか。
別途iptableでパケットは許可しておく必要はありますが。
それで、Lan1のクライアントマシンのデフォルトゲートウェイを192.168.10.1にして、Lan2のクライアントマシンのデフォルトゲートウェイを192.168.20.1にして、Lan1のクライアントマシンから、Lan2のクライアントマシンへSSH接続などしてみたらどうでしょうか。
Pingやtracerouteだとダメだけど、SSHやHTTPなら通るという可能性もあります(ICMPがフィルタされている可能性もあるので)
私の下記の環境で、上記のようにしてみたら、Winマシンから192.168.2.2へのSSH接続が出来ました。
win 192.168.1.3(default gw 192.168.1.1)
|
Lan1
|
eth0(192.168.1.1)
Router Linux
eth1(192.168.2.1)
|
Lan2
|
Linux 192.168.2.2(default gw 192.168.2.1)
ichikawayさん、いつもお世話になっております。
そしてアドバイスどうもありがとうございます!
ip_forwardは設定をしているのですが(でないとマスカレードできないので)、ping以外で繋いでみる、というのは試していませんでした。
確かに、カーネル初期設定ではICMPパケットはリダイレクトしないみたいですね。
明日ちょっと試してみます。
いや、まあLAN2つからルーティングしたかったのは、管理者LANから、一般LAN内に設置するプリンタとSambaに接続できたら便利だなーと思っただけなので(大汗)。
でも、現時点でとりあえず独立設定にして両LANとも問題なく機能しているので、自分のPCにNIC2枚差しして解決しようと思っています。というのも、管理用LANではサーバ管理とサーバ間通信以外の通信はやめた方が良いかなと思いまして。
でも、経験値を高めるためにichikawayさんのアドバイスは是非試してみたいと思います。
ありがとうございました!