vine-users ML アーカイブ

[vine-users:078582] Vine4.2に NIC3枚でルーター化設定

  • From: "Hisashi.Chiba." <ch-999@xxxxxxxxxxxxxxxxx>
  • Subject: [vine-users:078582] Vine4.2に NIC3枚でルーター化設定
  • Date: Sun, 20 Jul 2008 15:00:45 +0900
千葉と申します。
以前、複数ネットのbridge接続について当MLでお伺いしたところ
ルーター接続しなければならないと教えて頂きました。

DELL PowerEdge600SC
Vine-4.2 (Vine-4.1からのアップグレード)

LAN の接続状況
+------+   +------+
|WinPC1|   |WinPC2|
+---+--+   +---+--+
    |          |
----+----------+----------
    |192.168.0.0/24(LAN0)
    |
    |                         |... 10.0.1.0/24(LAN1)
    |(eth0->192.168.0.10)     |
+---+---+                     |   +------+
|Vine4.2+--(eth1->10.0.1.20)--+---+WinSv1|
+---+---+                     |   +------+
    |(eth2->172.16.2.30)
    |
    |172.16.2.0/24(LAN2)  +------------+
----+----------+----------+ADSLルーター+--->(INTERNET)
    |          |          +------------+
+---+--+   +---+--+
|WinPC3|   |WinPC4|
+------+   +------+

前回とは変わっていますが、Vine-4.2機にNICを3枚つけ、上記のLAN
接続でVine-4.2機からは全てのマシンにpingは通っているので、ネット
を検索して
http://www.ep.sci.hokudai.ac.jp/~epdns/dvlop/dhcp/iptables.html
等を参考に、以下の条件を満たすシェルスクリプトを考えてみましたが、
不安が先に立ち、まだテストまでしていません。

1)192.168.0.0/24(LAN1)側から172.16.2.0/24(LAN3)のINTERNET利用を許可。
2)10.0.1.0/24(LAN2)は、Vine-4.2機以外不可。
3)172.16.2.0/24(LAN3)側から192.168.0.0/24(LAN0)にアクセスを許可。
  # 普段クライアントは、ADSLルーターをゲートウェイに指定している。
  # LAN0側にアクセスの際は、ゲートウェイをVine-4.2機に変更する。

たぶん、この設定でもINTERNETにはADSLルータでSMBプロトコルは規制されて
いるので大丈夫だと思っているのですが如何でしょうか。

直接Vineに関係する話題ではないので恐縮なのですが、これ以外に設定する
ものがあるなど、皆さんのご意見がお聞き出来れば大変助かります。


#!/bin/sh
#
# iptables を用いてルーティングを行うシェルスクリプト
# /etc/rc.d/init.d/iptablesでsave
# chkconfig --level 345 iptables on
#
eth0_seg = 192.168.0.0/24
eth1_seg = 10.0.1.0/24
eth2_seg = 172.16.2.0/24

## IP フォワーディングを有効にする
## ただし、/etc/sysctl.conf を編集して
## net.ipv4.ip_forward = 0 --> net.ipv4.ip_forward = 1
## に変更後再起動いれば、以下の行は無効にする
#echo 1 > /proc/sys/net/ipv4/ip_forward

##テーブル初期化
iptables -t filter -F FORWARD
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING

##POSTROUTING, PREROUTING ともにアドレス変換を許可
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

##フィルタの設定: 通過許可
iptables -t filter -P FORWARD ACCEPT

##192.168.0.0/24(LAN0)設定(不可はコメント化する)
# 10.0.1.0/24(LAN1)は不可
# iptables -t nat -A POSTROUTING  -s $eth0_seg -o eth1 -j MASQUERADE
# 172.16.2.0/24(LAN2)は許可
iptables -t nat -A POSTROUTING  -s $eth0_seg -o eth2 -j MASQUERADE

##10.0.1.0/24(LAN1)設定(不可はコメント化する)
# 192.168.0.0/24(LAN0)と172.16.2.0/24(LAN2)は両方不可
# iptables -t nat -A POSTROUTING  -s $eth1_seg -o eth0 -j MASQUERADE
# iptables -t nat -A POSTROUTING  -s $eth1_seg -o eth2 -j MASQUERADE

##172.16.2.0/24(LAN2)設定(不可はコメント化する)
# 192.168.0.0/24(LAN0)は許可
iptables -t nat -A POSTROUTING  -s $eth2_seg -o eth0 -j MASQUERADE
# 10.0.1.0/24(LAN1)は不可
# iptables -t nat -A POSTROUTING  -s $eth2_seg -o eth1 -j MASQUERADE