vine-users ML アーカイブ



[vine-users:061751] iptables を使ったルータの構 築について

  • From: Kenji Teranishi <g0274501@xxxxxxxxxxxxxxxxx>
  • Subject: [vine-users:061751] iptables を使ったルータの構 築について
  • Date: Fri, 8 Aug 2003 17:18:13 +0900
寺西と申します。

大学から与えられた1つのIPアドレスをlinuxルータにより変換し、
研究室内の複数のクライアントPCにIPを割り振ることをやっていま
す。linuxルータにはNICを2枚差し、(eth0:Wan側、eth1:Lan側)
Vine2.6CRを使っていますので、iptableを使ってルーティングしよ
うとしましたが、設定につまずき質問させて頂きます。

iptableの設定は/etc/rc.d/rc.ip-masqというファイルを作成し、
/etc/rc.d/rc.localに再起動時にrc.ip-masqを読み込むような
スクリプトを書き込みました。パケットフィルタリングは研究
室のネットワークが学内のネットワークでも下流にあり、上流
で既にFirewallされてますので、特にセキュリティーについ
ては考えなくても良いかなと考えています。(というか今回は
初めて設定するので出来るだけシンプルにし、とりあえず動作
した後、色々とフィルタリングの設定をしようかと考えていま
す)そこで、internetをはじめ書籍(「Linuxでパソコンをル
ータにする」安井健治郎、榊原大輔 著)などを読み、以下の
ような順序で/etc/rc.d/rc.ip-masqを作成しました。

まず、iptablesが使えるか確認するため、
# /bin/iptables -L
と入力すると、

Chain INPUT (Policy ACCEPT)
target  prot opt source     destination

Chain FORWARD (Policy ACCEPT)
target  prot opt source     destination

Chain OUTPUT (Policy ACCEPT)
target  prot opt source     destination

と表示され、使えそうです。

/etc/rc.d/rc.ip-masqは以下のようになっています。

#!/bin/sh
#
LOCALNET='192.168.0.0/24'

## #モジュールをロード
echo "IP-masq Starting..."
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp

### IPフォーワーディングを有効にする
echo  1 > /proc/sys/net/ipv4/ip_forward

#
# clear rules
#
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT
#
# set default policy -- all drop(reject)
#
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT

# NAT & FORWARD
# for masquerade
#     IP マスカレードの定義
#
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# for iptables-save  ※※ 追加 ※※
#     iptables の設定を /etc/sysconfig/iptalbes に保存
#
/sbin/iptables-save > /etc/sysconfig/iptable

通常はポリシーを全て"DROP"して、必要なパケットのみ通過さ
せるような設定をしているようですが、この設定はセキュリテ
ィーは考えていませんので、ポリシーを全て"ACCEPT"にして、
います。従って、私はこの設定で「全てのパケットの通過を許
可する」と解釈しておりますが、この設定ではクライアントPC
でメール、インターネットは見れません。上述した私の解釈が
間違っている為に/etc/rc.d/rc.ip-masqの設定が不十分なのか、
あるいはクライアントPCの設定がまずいのか分かりません。
アドバイスを宜しくお願い致します。

ネットワークの環境は以下の通りです。(n1-n7はある固定の値です)

---- Linux ルータ ----
ホスト名:K_server
ドメイン名:lab.or.jp

Wan(外部)側 eth0
IPアドレス:10.101.n1.n2 (大学側から配布されている)
サブネットマスク:255.255.0.0
ネットワークアドレス:10.101.0.0
ブロードキャスト:10.101.255.255

Lan側 eth1
IPアドレス:192.168.0.1
サブネットマスク:255.255.255.0
ネットワークアドレス:192.168.0.0
ブロードキャスト:192.168.0.255

デフォルトゲートウェイ:10.101.0.n3(大学指定)
ゲートウェイの機器:eth0
ドメインネームサーバ(Primary):202.17.n4.n5
ドメインネームサーバ(Secondary):202.17.n6.n7
-----------------------

---- クライアントPC (e.g.Win98) ------
IPアドレス:192.168.0.3
サブネットマスク:255.255.255.0
ゲートウェイ:192.168.0.1

*DNS使うにチェック(以下の設定に不安あり)
DNSホスト名:Kee_server
DNSドメイン名:lab.or.jp
DNS1:192.168.0.1
-------------------------------------

ping はクライアントからlinuxルータのeth1と他のクライアントへは全て
通ります。linuxルータからクライアントへのpingは通りません。(ここも
問題のような)linuxルータからwebは見れますし(proxy経由)、メールも
できます。

以上宜しくお願い致します。

寺西研二

-----------------------------
Kenji Teranishi (Itoh Lab.)
Doctorate Course in Electrical & Electronics Enginnering
Chiba Institute of Technology
Tel +81-47-478-0363 / Fax +81-47-478-0379
email at g0274501@xxxxxxxxxxxxxxxxx