2011年7月 9日

[vine-users:081163] Re:Vine5.2でNIC2枚の環境でNetworkManagerとnetworkの関係について

さかい 様

詳細にアドバイスを頂き有難うございました。関係しそうなネットの情報を
寄せ集めての試みで体系的な知識が不足していました。
教えて頂いたNAPTの設定について良く調べて理解した上で対処し、後日結果
報告をさせて頂きます。取り急ぎお礼申し上げます。(辻隆夫)

> -----Original Message-----

> From: vine-users-bounces@xxxxx
> [mailto:vine-users-bounces@xxxxx] On Behalf Of Sakai
> Hisanobu
> Sent: Saturday, July 09, 2011 12:19 AM
> To: vine-users
> Subject: [vine-users:081162] Re: Vine5.2でNIC2枚の環境でNetworkManager
> とnetworkの関係について
>
> さかいです。
>
> まず、windowsから見たときのデフォルトゲートウェイが間違っていると思い
> ます。
>
> 10.0.0.0/24 のネットワークは、これまでの情報から、10.0.0.2 が
> DNS,DHCP,ROUTERになっているものと推測されます。
>
> ですので、10.0.0.153 から見たときには、10.0.0.2 がデフォルトルーター
> になります。
>
> DNSの問い合わせが成功するのは、10.0.0.2 が同一セグメントになっているた
> め
> ルーターを経由せずとも通信できる相手になっているためです。
>
> 次に、10.0.0.0/24 はプライベートアドレスなので、インターネットに出て行
> く
> ときには、globalアドレスにNAPTを行う必要があるのですが、NAPTに関する
> 情報
> がありません。10.0.0.2 の外側のアドレスが112.98.176.227なので、iptables
> で、10.0.0.0/24 からインターネットに出るときには、112.98.176.227 にNAPT
> して出て行くように設定しておく必要があります。
>
> このMLにいながらあれなのですが、最近はUbuntuな人なので、rh系のネット
> ワー
> クの記述をすっかり忘れてしまっていて、細かなところまでアドバイスできな
> い
> のですが、わかる範囲で設定に関するアドバイスをしますと、
>
> DHCPの設定ですが、間違いがあります。
>
> # A slightly different configuration for an internal subnet.
> subnet 10.0.0.0 netmask 255.255.255.0 {
> range 10.0.0.151 10.0.0.250;
> option domain-name-servers 10.0.0.2;
> option domain-name "kensoft.co.jp";
> option subnet-mask 255.255.255.0;
> option routers 112.98.176.225; <==間違い 10.0.0.2が正しい
> option broadcast-address 10.0.0.255;
> default-lease-time 54000;
> max-lease-time 72000;
> }
>
> NAPTの設定(内容については、理解してからお使いください。外→中は適当で
> す)
> rc.localにでも書いておけばとりあえずは良いと思います。
> ------ここから--------
> #!/bin/sh
>
> modprobe ip_tables
>
> LAN_NIC=eth0
> WAN_NIC=eth1
> LAN_NETMASK=255.255.255.0
> LAN_NETADDR=10.0.0.2
>
> iptables -F
> iptables -P INPUT DROP
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
>
> # IP マスカレードを有効化
> iptables -t nat -A POSTROUTING -o $WAN_NIC -s $LAN_NETADDR/$LAN_NETMASK
> -j MASQUERADE
>
> # ローカルループバックを許可
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A INPUT -s 127.0.0.0/8 -j ACCEPT
>
> # LAN 側からのアクセスを許可
> iptables -A INPUT -i $LAN_NIC -j ACCEPT
>
> # LAN 側からのアクセスに対する外部からの応答を許可
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> # プライベートアドレスの流出防止
> iptables -A OUTPUT -o $WAN_NIC -d 127.0.0.0/8 -j DROP
> iptables -A OUTPUT -o $WAN_NIC -d 10.0.0.0/8 -j DROP
> iptables -A OUTPUT -o $WAN_NIC -d 172.16.0.0/12 -j DROP
> iptables -A OUTPUT -o $WAN_NIC -d 192.168.0.0/16 -j DROP
> ------ここまで--------
>
>
> こんな感じでどうでしょうか。
>
_______________________________________________
vine-users mailing list
vine-users@xxxxx
http://listserv.linux.or.jp/mailman/listinfo/vine-users


投稿者 xml-rpc : 2011年7月 9日 08:51
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/105124
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。