【サーバ関連】心が折れています(iptables・routeの設定)

サーバ設定に行き詰まっています。

今回はNIC3枚差しで、1枚はインターネット側に、もう2枚はローカルで、そのうちの1枚は一般向け、もう1枚がサーバ管理向け、という構成でセットアップしているのですが、ローカル側でのルーティング(フォワーディング)の設定が分からず困っています。

もう少し詳しく書くと、こういった構成を考えています。

LAN1 / eth0 : 192.168.10.0/24 gateway 192.168.10.1
LAN2 / eth1 : 192.168.20.0/24 gateway 192.168.20.1
WAN  / eth2 : 10.1.1.0/29 gateway 10.1.1.1

LAN1もLAN2も、WAN側をへ通過でき、LAN1からLAN2は通過できるけどLAN2からLAN1は特定ポートが通過できないような仕組みにしたいのです。
現在iptablesは全てACCEPTしていて、pingは

○ LAN1→etc0→SV→etc2→WAN
○ LAN2→eth1→SV→etc2→WAN
× LAN1→eth0→SV→etc1→LAN2
× LAN2→eth1→SV→etc0→LAN1
という状況です。

「ルーティング」の仕組みについてしっかりと理解していないと思うのですが、このような場合「スタティックルーティング」でLAN1←→LAN2の橋渡しをするゲートウェイが必要なのではないかと思うのですが、routeの設定をいくらいろんな数値でやってもうまくいかないのです。例えば

route add -net 192.168.10.0/24 gw 192.168.20.1 dev eth1
route add -net 192.168.20.0/24 gw 192.168.10.1 dev eth0

route add -net 192.168.10.0/24 gw 192.168.20.2 dev eth1
route add -net 192.168.20.0/24 gw 192.168.10.2 dev eth0

とかやってみましたがダメです。

そもそも、セグメント越えの概念はやめたほうがいいんですかね?
相当ネットで検索していろんな設定を調べたんですが、全く分からないです。
従来通りLAN側を一緒にしてしまっても良いのですが、出来れば一般社員にSSH等を使わせたくないんですよね…
将来的にVPNとかもやりたいので、セグメントを分け出来ないとかなり困るなぁ…

どなたかネットワーク構築に詳しい方、アドバイスをいただけると嬉しいです。

【サーバ関連】iptablesの設定で苦戦

年末から始めているサーバ設定ですが、結構苦戦していたりします。
ネットワークの構成を複雑にしてしまったため、iptablesの設定に苦労しています。

LAN-WAN一対一の設定例は、ネット上に結構転がっているのですが、今回はLANを2種類にしていまして、管理用と一般用でセグメント分けしているためです。しかも、同じものが独立してるのならまあ一対一を二つ書くイメージでOKなのですが、一般用はサーバアクセスに対していろいろな制限を付けるため(例えばSSHを禁止するとか)、非常にめんどくさい…

また、今回はこれを2枚のネットワークカードに混在させているために(つまりLAN側は同じネットワークカード)、iptablesの書き方も多少特殊になっています。さらに、これがうまく表現できたらVPNアクセスについても同じように一般用と管理用のネットワークに乗せたいと考えているため、今後さらに複雑になりそうな予感です。

iptablesの設定はサーバ設定の中で一番苦手です。それ以前はsendmailだったのですが、最近はPostfixに鞍替えしたので比較的簡単に出来るようになったのですが…
なんかこう、フローチャートみたいな感じで線を引っ張ったりして簡単にロジックが組めるような、GUIなツールなんか無いですかね。分かりやすいツールなら、いざというときに他の(サーバ管理をやったことがないような)人に操作してもらったりも出来るんですけどね。

【戯れ言】CentOS5.2のインストール

実質仕事納めになり、他の社員が誰もいなくなったので、早速サーバOSの入れ替えということでCentOS5.2を導入し始めました。

CentOSは初めて使うOSですが、Redhat系(Fedora)は長く使っているので、以前のFreeBSDよりは扱いでは安心感あります。あとは、このOSがどの程度使えるか、ということですけど…
せっかくx86_64CPUなので、今回は64版を入れてみているのですが、どうなんでしょうかね。特殊なアプリケーションは導入しないし、ApacheやDB、PHP周り以外は全部標準パッケージを利用するつもりなので、大丈夫だと思うんですが。某Windowsみたいに違いがあるわけでもなく、いたって普通なのですが、まあでも心なしかx86よりは速い印象です。

とにかくLinuxのインストールは久しぶりで、ネットワーク関連の設定をもう忘れてしまっていて、グローバルのルーティングにだいぶ苦労してしまいました。自分のところの他のサーバは見えているのに、プロバイダ側の上流DNSは見えなくて外が見えない状態で、おかしいなと思っていろいろやってもうまくいかず、あれっと思って設定を見直すと、ゲートウェイアドレスが未設定だったりとか(超大汗)。でも、Anacondaにゲートウェイアドレスの設定項目がなかったような気がするんですよね。見間違い?

今回はゲートウェイサーバのみを作っていて、その他は年明けなんですが、他にそれぞれの機能を持たせたサーバを3~4台設定する予定です。ゲートウェイといっても、まあぶっちゃけインターネットルータを作っているようなものなので、メールやwebは今回なしなので楽と言えば楽なんですが…。将来的にはvpnをどうするかというのもあるんですが、とりあえず今はCentOSを正しく導入できるかの方が大事ですかね。

ここまでは昨日の話で、今日はこれから最大の鬼門であるiptablesの設定をしに会社に向かうのですが、正直胃が縮む思いです。穴の開かないよう、しっかり設定してこようと思います。そして年越しをサーバに囲まれて迎えることのないよう祈りたい…
 

【個人的に欲しいCentOSの本】

アマゾンのサーバでエラーが起こっているかもしれません。一度ページを再読み込みしてみてください。

アマゾンのサーバでエラーが起こっているかもしれません。一度ページを再読み込みしてみてください。