- ベストアンサー
iptablesの記述に付きLANとDMZのセグメントを持つサーバで適切な設定を教えてください。
- LANとDMZのセグメントを持つサーバで適切なiptablesの設定について教えてください。
- サーバのネットワーク環境に合ったiptablesの設定方法を教えてください。
- iptablesを使用してLANとDMZのセグメントを持つサーバのファイアーウォールを設定する方法を教えてください。
- その他(ITシステム運用・管理)
- 回答数3
- ありがとう数4
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (2)
- junkUser
- ベストアンサー率56% (218/384)
内容を確認させていただきましたが、この文書はチュートリアルではありません。ネットワークとiptablesがわかっている人用のちょっと便利なスクリプト集です。 iptables のコマンドと、ネットワークの基礎が理解できていないと、スクリプトをいきなり理解することはできないでしょう。 今やろうとしていることを実現するには以下のサイトの方が良いかもしれません。 http://www.atmarkit.co.jp/flinux/rensai/security04/security04b.html --- という前置きはおいといて --- rc.DMZ.firewall.txt が実現しようとしているのは ・インターネットから 194.236.50.153 TCP 80 へのHTTP接続を 192.168.1.2 へ転送 ・インターネットから 194.236.50.154 TCP,UDP53 へのDNSリクエストを 192.168.1.3 へ転送 ・Trusted Internal Network からのインターネットの接続を 194.236.50.152 へアドレス変換して発信 (インターネット上の第三者のサーバは 194.236.50.152 から接続されたと判断されます) ・付随するセッションを通す ・余計なものは遮断 です。 一つ一つのコマンドの意味を解説する必要はありますか?
お礼
お忙しいなか、スクリプトを読んでいただき感謝いたします。これで確信に触れる質問ができます。大感謝です。 もう少し時間を頂けるものならと質問を続けさせていただきます。Iptablesの記述の読み方は多少理解をしているつもりです。このスクリプトを自分なりに修正をして私のネットワークはファイアーウォールとLanにPC数台を繋ぎ、DMZ上にHTTPサーバが置いてあります。FIREWALLはeth0がppp0に置き換わっています。 FIREWALLのPCで #ifconfigをすると(実際の番号は異なりますが) ppp0 inet addr: 194.236.50.152 eth1 inet addr: 192.168.0.1 eth2 inet addr: 192.168.1.1 HTTPサーバのPCは eth0 inet addr: 192.168.1.2 ですから、これらに入る、流れる、出て行くIPTABLESの記述は理解ができます。 仮に私がISPにお金を支払い194.236.50.153のアドレスを得たとしますと、このアドレスはHTTP_IPとして使用できることは理解ができます。 $IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $HTTP_IP --dport 80 -j DNAT --to-destination $DMZ_HTTP_IP の記述は $IPTABLES -t nat -A PREROUTING -p TCP -i ppp0 -d 194.236.50.153 --dport 80 -j DNAT --to-destination 192.168.1.2 に書き換えると、インターネット(ppp0)から進入するパケットでport番号が80の宛先をもつパケットを192.168.1.2に導きDNATをするは解かりますが、『宛先が194.236.50.153』であるパケットの意味が理解できないのです。 DNSかドメイン名のレジスタラーに mydomain.jp = 194.256.50.153 と明記したので、外部のPCのブラウザアーにmydomain.jpと入力すると194.256.50.153の宛先のアドレスを持つパケットがppp0から進入してくる。との理解でよいのですかが第一の質問です。 次の質問は、私はレジスタラーにmydomain.jpは登録しているがグローバルアドレスを取得していないので、上記の記述はできないが、レジスタラーが転送してくるport80宛てのパケットは194.236.50.152のはずであるために、下記の様にIPTABLESを置き換えることで支障は無いのかです。 $IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $INET_IP --dport 80 -j DNAT --to-destination $DMZ_HTTP_IP 宜しくお願いします。
- junkUser
- ベストアンサー率56% (218/384)
ご提示のリンクが正しくないので参考程度に。 >194.236.50.153/155 153~155を表現したいのでしょう。 図解のページはおそらく複数IPのネットワークを前提に説明されているとおもわれます。 お使いのIPアドレスが1つだけであれば、"/" 以降は不要です。 あえて書くとしたら、"/32" または "/255.255.255.255" ですね。 # 4.2.4 PREROUTING chain $IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $HTTP_IP --dport 80 -j DNAT --to-destination $DMZ_HTTP_IP INET_IFACE 外部ネットワークへ接続するNIC(今回の場合は ppp0) HTTP_IP グローバルIP(今回の場合は 194.236.50.153) DMZ_HTTP_IP DMZ上の転送先IP(今回の場合は 192.168.1.2) iptables のマニュアルを参照した方がいいかもしれません。 キーワードとしては "ポートフォワーディング"
お礼
『解らないときは角度を変えて考えてみては?』と指摘をされたようでした。角度を変えてみてみると『質問の内容がまずい』と『URLのアドレスが違う』とは失念でした。図解のURLは: http://www.asahi-net.or.jp/~AA4T-NNGK/ipttut/output/rcfirewalltxt.html 上記のURLで繋がらないときのために原書からの図解です http://iptables-tutorial.frozentux.net/iptables-tutorial.html#RCDMZFIREWALLTXT 図の中にあるポートアドレス(194.236.50.153から194.236.50.155)を解説書の中にあるrc.DMZ.firewall.txt http://www.asahi-net.or.jp/~AA4T-NNGK/ipttut/output/scripts/rc.DMZ.firewall.txt から読み取ると(書き換えると)『どのような、状態であるか基本が解かっていない』ので教えて頂きたいのです。 yahoo.comを#whoisで調べてみると、確かに複数のレジスタラーにグローバルアドレスを登録させています。外界を繋ぐ正式なDNSは2つ以上必要で異なるLAN上に置くということから、上記の194.236.50.15*は、ご指摘のように『複数IPのネットワークを前提として』説明をしているのかもしれません。 ”ポートフォワーディング”以前にこの辺りがよく解かっていません。鶏が先が卵が先かの話にもなりますが、解析をしていただければ幸いです。
お礼
ぼやけていたところが良く理解できました。今後とも宜しくお願いします。ほんとうにありがとうございました。