投稿日: 投稿者: MASA-P

【サーバ関連】心が折れています(iptables・routeの設定)

サーバ設定に行き詰まっています。

今回はNIC3枚差しで、1枚はインターネット側に、もう2枚はローカルで、そのうちの1枚は一般向け、もう1枚がサーバ管理向け、という構成でセットアップしているのですが、ローカル側でのルーティング(フォワーディング)の設定が分からず困っています。

もう少し詳しく書くと、こういった構成を考えています。

LAN1 / eth0 : 192.168.10.0/24 gateway 192.168.10.1
LAN2 / eth1 : 192.168.20.0/24 gateway 192.168.20.1
WAN  / eth2 : 10.1.1.0/29 gateway 10.1.1.1

LAN1もLAN2も、WAN側をへ通過でき、LAN1からLAN2は通過できるけどLAN2からLAN1は特定ポートが通過できないような仕組みにしたいのです。
現在iptablesは全てACCEPTしていて、pingは

○ LAN1→etc0→SV→etc2→WAN
○ LAN2→eth1→SV→etc2→WAN
× LAN1→eth0→SV→etc1→LAN2
× LAN2→eth1→SV→etc0→LAN1
という状況です。

「ルーティング」の仕組みについてしっかりと理解していないと思うのですが、このような場合「スタティックルーティング」でLAN1←→LAN2の橋渡しをするゲートウェイが必要なのではないかと思うのですが、routeの設定をいくらいろんな数値でやってもうまくいかないのです。例えば

route add -net 192.168.10.0/24 gw 192.168.20.1 dev eth1
route add -net 192.168.20.0/24 gw 192.168.10.1 dev eth0

route add -net 192.168.10.0/24 gw 192.168.20.2 dev eth1
route add -net 192.168.20.0/24 gw 192.168.10.2 dev eth0

とかやってみましたがダメです。

そもそも、セグメント越えの概念はやめたほうがいいんですかね?
相当ネットで検索していろんな設定を調べたんですが、全く分からないです。
従来通りLAN側を一緒にしてしまっても良いのですが、出来れば一般社員にSSH等を使わせたくないんですよね…
将来的にVPNとかもやりたいので、セグメントを分け出来ないとかなり困るなぁ…

どなたかネットワーク構築に詳しい方、アドバイスをいただけると嬉しいです。


“【サーバ関連】心が折れています(iptables・routeの設定)” への2件の返信

  1. こんにちは、ichikaway(cakephper)です。
    すでに解決してしまっているかもしれませんが、ルータとなるマシンは、/etc/sysctl.confに
    net.ipv4.ip_forward = 1
    net.ipv4.conf.default.rp_filter = 1
    を書いてリブートするだけで、特にルーティング設定は必要ないのではないでしょうか。
    別途iptableでパケットは許可しておく必要はありますが。

    それで、Lan1のクライアントマシンのデフォルトゲートウェイを192.168.10.1にして、Lan2のクライアントマシンのデフォルトゲートウェイを192.168.20.1にして、Lan1のクライアントマシンから、Lan2のクライアントマシンへSSH接続などしてみたらどうでしょうか。
    Pingやtracerouteだとダメだけど、SSHやHTTPなら通るという可能性もあります(ICMPがフィルタされている可能性もあるので)

    私の下記の環境で、上記のようにしてみたら、Winマシンから192.168.2.2へのSSH接続が出来ました。
    win 192.168.1.3(default gw 192.168.1.1)
    |
    Lan1
    |
    eth0(192.168.1.1)
    Router Linux
    eth1(192.168.2.1)
    |
    Lan2
    |
    Linux 192.168.2.2(default gw 192.168.2.1)

  2. ichikawayさん、いつもお世話になっております。
    そしてアドバイスどうもありがとうございます!

    ip_forwardは設定をしているのですが(でないとマスカレードできないので)、ping以外で繋いでみる、というのは試していませんでした。
    確かに、カーネル初期設定ではICMPパケットはリダイレクトしないみたいですね。
    明日ちょっと試してみます。

    いや、まあLAN2つからルーティングしたかったのは、管理者LANから、一般LAN内に設置するプリンタとSambaに接続できたら便利だなーと思っただけなので(大汗)。

    でも、現時点でとりあえず独立設定にして両LANとも問題なく機能しているので、自分のPCにNIC2枚差しして解決しようと思っています。というのも、管理用LANではサーバ管理とサーバ間通信以外の通信はやめた方が良いかなと思いまして。

    でも、経験値を高めるためにichikawayさんのアドバイスは是非試してみたいと思います。
    ありがとうございました!

コメントは受け付けていません。