[debian-users:23240] Re: IP forwarding ができません

[sin@xxxxxxxxx (MOTOKI Sinichi)]

 元木です。
 forward するだけなら難しいことは無いと思いますが.....

In [debian-users : No.23239]
  "Yuki Kamiya" <yuki@xxxxxxxxx> wrote:

| >  PC1 $ route add -net 192.168.x.0 netmask 255.255.255.0 gw 192.168.a.b
| >  PC2 $ route add -net 192.168.a.0 netmask 255.255.255.0 gw 192.168.x.y
| すでにデフォルトゲートウェイがあるので、以上のように設定したのですが
| だめでした。PC1で
| $ ping 192.168.x.z
| した後、Firewall上でtcpdumpをしてみたら、確かにICMPパケットはきていたのです
| が、フォワードされません。

 とりあえず、PC1 からパケットが出ていれば 192.168.a.0/24 側
 のネットワークインターフェースでは観測できるはずです。
 なので、経路が正しく設定されているかは確認できないと思います。

 こういう基本的な部分は基本的なことを一つ一つ確認していくし
 か術が無いと思いますので頑張って下さい。

 とりあえず、確認してみるべきだと思うことを以下に列挙します
 ので参考にでもして下さい。

 1. PC1 のネットワークインターフェースのIPアドレスとネットマ
    スクの確認。

 2. PC2 のネットワークインターフェースのIPアドレスとネットマ
    スクの確認。

 3. FireWall のネットワークインターフェースのIPアドレスとネッ
    トマスクの確認。PC1, PC2 の設定と見比べてネットマスク、
    ネットワークアドレス、ブロードキャストアドレス等が一致し
    ているか確認する。必ず、設定ファイルを見比べるのでなく 
    ifconfig -a の結果等で確認する。

 4. PC1 から ping が FireWall に到達できるかのチェック。

 5. PC2 から ping が FireWall に到達できるかのチェック。

 6. FireWall から ping が PC1 に到達できるかのチェック。

 7. FireWall から ping が PC2 に到達できるかのチェック。
 
 8. Firewall のルーティングテーブルの確認。必ず、設定ファイ
    ルを見比べるのでなく netstat -rn の結果等で 3 で確認した
    ネットワークアドレスと見比べて妥当な値になっている確認す
    る。

 9. PC1 のルーティングテーブルの確認。必ず、設定ファイルを見
    比べるのでなく netstat -rn の結果等で 3 で確認したネット
    ワークアドレスと見比べて妥当な値になっている確認する。

 10. PC2 のルーティングテーブルの確認。必ず、設定ファイルを
     見比べるのでなく netstat -rn の結果等で 3 で確認したネッ
     トワークアドレスと見比べて妥当な値になっている確認する。

 11. Firewall 上で cat /proc/sys/net/ipv4/ip_forward を実行
     し sys/net/ipv4/ip_forward の値を確認。

 12. Firewall 上で ipchains -L を実行し、すべての chain が 
     ACCEPT になっていることを確認する。

 13. Firewall 上で ipchains -A forward -l を実行し、forward 
     するパケットをログに出力されるようにする。
     (/var/log/syslog あたりを見て下さい。)

 14. PC1 から PC2 に ping し、Firewall上でログを確認してみる。

 15. ルーティングされていない場合は、1に戻ってチェックをやり
     直す。

 16. ルーティングされていて、PC2 に到達していない場合は、 
     192.168.x.0/24 側のネットワークインターフェースの設定と
     PC2 の設定をチェック。

 では、頑張って下さい。

元木
今日の0時頃 ipchains の設定をしていた人