2008年7月20日

[vine-users:078582] Vine4.2にNIC3枚でルーター化設定

千葉と申します。
以前、複数ネットのbridge接続について当MLでお伺いしたところ
ルーター接続しなければならないと教えて頂きました。

DELL PowerEdge600SC
Vine-4.2 (Vine-4.1からのアップグレード)

LAN の接続状況

+------+ +------+
|WinPC1| |WinPC2|
+---+--+ +---+--+
| |
----+----------+----------
|192.168.0.0/24(LAN0)
|
| |... 10.0.1.0/24(LAN1)
|(eth0->192.168.0.10) |
+---+---+ | +------+
|Vine4.2+--(eth1->10.0.1.20)--+---+WinSv1|
+---+---+ | +------+
|(eth2->172.16.2.30)
|
|172.16.2.0/24(LAN2) +------------+
----+----------+----------+ADSLルーター+--->(INTERNET)
| | +------------+
+---+--+ +---+--+
|WinPC3| |WinPC4|
+------+ +------+

前回とは変わっていますが、Vine-4.2機にNICを3枚つけ、上記のLAN
接続でVine-4.2機からは全てのマシンにpingは通っているので、ネット
を検索して
http://www.ep.sci.hokudai.ac.jp/~epdns/dvlop/dhcp/iptables.html
等を参考に、以下の条件を満たすシェルスクリプトを考えてみましたが、
不安が先に立ち、まだテストまでしていません。

1)192.168.0.0/24(LAN1)側から172.16.2.0/24(LAN3)のINTERNET利用を許可。
2)10.0.1.0/24(LAN2)は、Vine-4.2機以外不可。
3)172.16.2.0/24(LAN3)側から192.168.0.0/24(LAN0)にアクセスを許可。
# 普段クライアントは、ADSLルーターをゲートウェイに指定している。
# LAN0側にアクセスの際は、ゲートウェイをVine-4.2機に変更する。

たぶん、この設定でもINTERNETにはADSLルータでSMBプロトコルは規制されて
いるので大丈夫だと思っているのですが如何でしょうか。

直接Vineに関係する話題ではないので恐縮なのですが、これ以外に設定する
ものがあるなど、皆さんのご意見がお聞き出来れば大変助かります。


#!/bin/sh
#
# iptables を用いてルーティングを行うシェルスクリプト
# /etc/rc.d/init.d/iptablesでsave
# chkconfig --level 345 iptables on
#
eth0_seg = 192.168.0.0/24
eth1_seg = 10.0.1.0/24
eth2_seg = 172.16.2.0/24

## IP フォワーディングを有効にする
## ただし、/etc/sysctl.conf を編集して
## net.ipv4.ip_forward = 0 --> net.ipv4.ip_forward = 1
## に変更後再起動いれば、以下の行は無効にする
#echo 1 > /proc/sys/net/ipv4/ip_forward

##テーブル初期化
iptables -t filter -F FORWARD
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING

##POSTROUTING, PREROUTING ともにアドレス変換を許可
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

##フィルタの設定: 通過許可
iptables -t filter -P FORWARD ACCEPT

##192.168.0.0/24(LAN0)設定(不可はコメント化する)
# 10.0.1.0/24(LAN1)は不可
# iptables -t nat -A POSTROUTING -s $eth0_seg -o eth1 -j MASQUERADE
# 172.16.2.0/24(LAN2)は許可
iptables -t nat -A POSTROUTING -s $eth0_seg -o eth2 -j MASQUERADE

##10.0.1.0/24(LAN1)設定(不可はコメント化する)
# 192.168.0.0/24(LAN0)と172.16.2.0/24(LAN2)は両方不可
# iptables -t nat -A POSTROUTING -s $eth1_seg -o eth0 -j MASQUERADE
# iptables -t nat -A POSTROUTING -s $eth1_seg -o eth2 -j MASQUERADE

##172.16.2.0/24(LAN2)設定(不可はコメント化する)
# 192.168.0.0/24(LAN0)は許可
iptables -t nat -A POSTROUTING -s $eth2_seg -o eth0 -j MASQUERADE
# 10.0.1.0/24(LAN1)は不可
# iptables -t nat -A POSTROUTING -s $eth2_seg -o eth1 -j MASQUERADE


投稿者 xml-rpc : 2008年7月20日 15:00
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/75493
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。