vine-users ML アーカイブ

[vine-users:081163] Re: Vine5.2でNIC2枚の環境でNetworkManagerとnetworkの関係について

  • From: 辻 隆夫 <Tsuji@xxxxxxxxx>
  • Subject: [vine-users:081163] Re: Vine5.2でNIC2枚の環境でNetworkManagerとnetworkの関係について
  • Date: Sat, 9 Jul 2011 08:51:50 +0900
さかい 様

詳細にアドバイスを頂き有難うございました。関係しそうなネットの情報を
寄せ集めての試みで体系的な知識が不足していました。
教えて頂いたNAPTの設定について良く調べて理解した上で対処し、後日結果
報告をさせて頂きます。取り急ぎお礼申し上げます。(辻隆夫)

> -----Original Message-----
> From: vine-users-bounces@xxxxxxxxxxxxxxxxxxxx
> [mailto:vine-users-bounces@xxxxxxxxxxxxxxxxxxxx] On Behalf Of Sakai
> Hisanobu
> Sent: Saturday, July 09, 2011 12:19 AM
> To: vine-users
> Subject: [vine-users:081162] Re: Vine5.2でNIC2枚の環境でNetworkManager
> とnetworkの関係について
> 
> さかいです。
> 
> まず、windowsから見たときのデフォルトゲートウェイが間違っていると思い
> ます。
> 
> 10.0.0.0/24 のネットワークは、これまでの情報から、10.0.0.2 が
> DNS,DHCP,ROUTERになっているものと推測されます。
> 
> ですので、10.0.0.153 から見たときには、10.0.0.2 がデフォルトルーター
> になります。
> 
> DNSの問い合わせが成功するのは、10.0.0.2 が同一セグメントになっているた
> め
> ルーターを経由せずとも通信できる相手になっているためです。
> 
> 次に、10.0.0.0/24 はプライベートアドレスなので、インターネットに出て行
> く
> ときには、globalアドレスにNAPTを行う必要があるのですが、NAPTに関する
> 情報
> がありません。10.0.0.2 の外側のアドレスが112.98.176.227なので、iptables
> で、10.0.0.0/24 からインターネットに出るときには、112.98.176.227 にNAPT
> して出て行くように設定しておく必要があります。
> 
> このMLにいながらあれなのですが、最近はUbuntuな人なので、rh系のネット
> ワー
> クの記述をすっかり忘れてしまっていて、細かなところまでアドバイスできな
> い
> のですが、わかる範囲で設定に関するアドバイスをしますと、
> 
> DHCPの設定ですが、間違いがあります。
> 
> # A slightly different configuration for an internal subnet.
> subnet 10.0.0.0 netmask 255.255.255.0 {
> 	range 10.0.0.151 10.0.0.250;
> 	option domain-name-servers 10.0.0.2;
> 	option domain-name "kensoft.co.jp";
> 	option subnet-mask 255.255.255.0;
> 	option routers 112.98.176.225; <==間違い 10.0.0.2が正しい
> 	option broadcast-address 10.0.0.255;
> 	default-lease-time 54000;
> 	max-lease-time 72000;
> }
> 
> NAPTの設定(内容については、理解してからお使いください。外→中は適当で
> す)
> rc.localにでも書いておけばとりあえずは良いと思います。
> ------ここから--------
> #!/bin/sh
> 
> modprobe ip_tables
> 
> LAN_NIC=eth0
> WAN_NIC=eth1
> LAN_NETMASK=255.255.255.0
> LAN_NETADDR=10.0.0.2
> 
> iptables -F
> iptables -P INPUT DROP
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
> 
> # IP マスカレードを有効化
> iptables -t nat -A POSTROUTING -o $WAN_NIC -s $LAN_NETADDR/$LAN_NETMASK
> -j MASQUERADE
> 
> # ローカルループバックを許可
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A INPUT -s 127.0.0.0/8 -j ACCEPT
> 
> # LAN 側からのアクセスを許可
> iptables -A INPUT -i $LAN_NIC -j ACCEPT
> 
> # LAN 側からのアクセスに対する外部からの応答を許可
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> 
> # プライベートアドレスの流出防止
> iptables -A OUTPUT -o $WAN_NIC -d 127.0.0.0/8 -j DROP
> iptables -A OUTPUT -o $WAN_NIC -d 10.0.0.0/8 -j DROP
> iptables -A OUTPUT -o $WAN_NIC -d 172.16.0.0/12 -j DROP
> iptables -A OUTPUT -o $WAN_NIC -d 192.168.0.0/16 -j DROP
> ------ここまで--------
> 
> 
> こんな感じでどうでしょうか。
> 
_______________________________________________
vine-users mailing list
vine-users@xxxxxxxxxxxxxxxxxxxx
http://listserv.linux.or.jp/mailman/listinfo/vine-users