寺西と申します。 大学から与えられた1つのIPアドレスをlinuxルータにより変換し、 研究室内の複数のクライアントPCにIPを割り振ることをやっていま す。linuxルータにはNICを2枚差し、(eth0:Wan側、eth1:Lan側) Vine2.6CRを使っていますので、iptableを使ってルーティングしよ うとしましたが、設定につまずき質問させて頂きます。 iptableの設定は/etc/rc.d/rc.ip-masqというファイルを作成し、 /etc/rc.d/rc.localに再起動時にrc.ip-masqを読み込むような スクリプトを書き込みました。パケットフィルタリングは研究 室のネットワークが学内のネットワークでも下流にあり、上流 で既にFirewallされてますので、特にセキュリティーについ ては考えなくても良いかなと考えています。(というか今回は 初めて設定するので出来るだけシンプルにし、とりあえず動作 した後、色々とフィルタリングの設定をしようかと考えていま す)そこで、internetをはじめ書籍(「Linuxでパソコンをル ータにする」安井健治郎、榊原大輔 著)などを読み、以下の ような順序で/etc/rc.d/rc.ip-masqを作成しました。 まず、iptablesが使えるか確認するため、 # /bin/iptables -L と入力すると、 Chain INPUT (Policy ACCEPT) target prot opt source destination Chain FORWARD (Policy ACCEPT) target prot opt source destination Chain OUTPUT (Policy ACCEPT) target prot opt source destination と表示され、使えそうです。 /etc/rc.d/rc.ip-masqは以下のようになっています。 #!/bin/sh # LOCALNET='192.168.0.0/24' ## #モジュールをロード echo "IP-masq Starting..." /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp ### IPフォーワーディングを有効にする echo 1 > /proc/sys/net/ipv4/ip_forward # # clear rules # /sbin/iptables -F INPUT /sbin/iptables -F FORWARD /sbin/iptables -F OUTPUT # # set default policy -- all drop(reject) # /sbin/iptables -P INPUT ACCEPT /sbin/iptables -P FORWARD ACCEPT /sbin/iptables -P OUTPUT ACCEPT # NAT & FORWARD # for masquerade # IP マスカレードの定義 # /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # for iptables-save ※※ 追加 ※※ # iptables の設定を /etc/sysconfig/iptalbes に保存 # /sbin/iptables-save > /etc/sysconfig/iptable 通常はポリシーを全て"DROP"して、必要なパケットのみ通過さ せるような設定をしているようですが、この設定はセキュリテ ィーは考えていませんので、ポリシーを全て"ACCEPT"にして、 います。従って、私はこの設定で「全てのパケットの通過を許 可する」と解釈しておりますが、この設定ではクライアントPC でメール、インターネットは見れません。上述した私の解釈が 間違っている為に/etc/rc.d/rc.ip-masqの設定が不十分なのか、 あるいはクライアントPCの設定がまずいのか分かりません。 アドバイスを宜しくお願い致します。 ネットワークの環境は以下の通りです。(n1-n7はある固定の値です) ---- Linux ルータ ---- ホスト名:K_server ドメイン名:lab.or.jp Wan(外部)側 eth0 IPアドレス:10.101.n1.n2 (大学側から配布されている) サブネットマスク:255.255.0.0 ネットワークアドレス:10.101.0.0 ブロードキャスト:10.101.255.255 Lan側 eth1 IPアドレス:192.168.0.1 サブネットマスク:255.255.255.0 ネットワークアドレス:192.168.0.0 ブロードキャスト:192.168.0.255 デフォルトゲートウェイ:10.101.0.n3(大学指定) ゲートウェイの機器:eth0 ドメインネームサーバ(Primary):202.17.n4.n5 ドメインネームサーバ(Secondary):202.17.n6.n7 ----------------------- ---- クライアントPC (e.g.Win98) ------ IPアドレス:192.168.0.3 サブネットマスク:255.255.255.0 ゲートウェイ:192.168.0.1 *DNS使うにチェック(以下の設定に不安あり) DNSホスト名:Kee_server DNSドメイン名:lab.or.jp DNS1:192.168.0.1 ------------------------------------- ping はクライアントからlinuxルータのeth1と他のクライアントへは全て 通ります。linuxルータからクライアントへのpingは通りません。(ここも 問題のような)linuxルータからwebは見れますし(proxy経由)、メールも できます。 以上宜しくお願い致します。 寺西研二 ----------------------------- Kenji Teranishi (Itoh Lab.) Doctorate Course in Electrical & Electronics Enginnering Chiba Institute of Technology Tel +81-47-478-0363 / Fax +81-47-478-0379 email at g0274501@xxxxxxxxxxxxxxxxx