[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:32270] NAT with iptables  訂正 



栗田@gazです。

誠に変な質問メールを出しすみませんでした。

1.目的
ADSLでサーバーをグローバールアドレスで公開しているが
セキュリティ向上と増設余力を大きくするためdmzとmzを
設け自社PCをプライベートアドレスにする

その為今回オフラインでファイアウォールのテストを行っています。

2.環境


Linux使用バージョン 2.4.18 586tsc


ファイアウォール
NIC三枚差しLinux BOX  
mz eth0 192.168.1.0/24
dmz eth1 192.168.2.0/24
wan eth2 a.b.c.d/28

3.テスト環境
テスト用に用意したPCはクロスケーブルでNICに接続

使用した設定は最後に記載させていただいたものです。

4.テスト
4.1テスト1
mz-dmz間でNAT無で FORWARD を eth0-eth2 間で設定しすべてACCEPTで
 www,domain,smtpに付いてブラウザ,メールの送受信,ドメインネームでのping
を確認テストをしたところ全て正常に動作しました。

4.3テスト2
wan-dmz NATを設定した状況でwww及びpingをIP及びドメインネイムで行っても
通信が出来ない。

-j LOG をFORWARDの先頭に設定してログが記録されない。
試しにwan-localに-j LOGを追加するとログが記録されている。

4.4テスト3
再度kernelをインストールし直し。
ip_forward=yesに設定し、1枚のnicで立ち上げる。
nicに対しpingを打ち通るのを確認。
iptables −A INPUT -d a.b.c.d -j DROP
で通らなくなるのを確認後、−F し
iptables -t nat -A PREROUTNG -d a.b.c.x -j DNAT --to a.b.c.d
を設定。
ping a.b.c.x

を行うが通らない。

以上のような状況で、ここ1週間ぐらいかなり時間を割いてその他 色々やって
みたのですがらちがあきませんでした。

よろしくお願いします。

----------------------iptableの設定------------------------------------
#! /bin/sh
iptables -F iptables -X
iptables -t nat -F
#
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
#
iptables -N mz-dmz
iptables -N mz-wan
iptables -N dmz-mz
iptables -N dmz-wan
iptables -N wan-dmz
iptables -N wan-mz
iptables -N mz-local
iptables -N dmz-local
iptables -N wan-local
iptables -N icmp-acc
#
# nat
#
iptables -t nat -A PREROUTING -d a.b.c.d -i eth1 -j DNAT --to 192.168.2.2
iptables -t nat -A POSTROUTING -s 192.168.2.2 -o eth1 -j SNAT --to a.b.c.d
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to
a.b.c.e-a.b.c.f
#
# forward
#
iptables -A FORWARD -i eth0 -o eth2 -s 192.168.1.0/24 -d 192.168.2.0/24
-j mz-dmz
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.1.0/24 -j mz-wan
iptables -A FORWARD -i eth2 -o eth0 -s 192.168.2.0/24 -d 192.168.1.0/24
-jdmz-mz
iptables -A FORWARD -i eth2 -o eth1 -s 192.168.2.0/24 -j dmz-wan
iptables -A FORWARD -i eth1 -o eth2 -d 192.168.2.0/24 -j wan-dmz
iptables -A FORWARD -i eth1 -o eth0 -d 192.168.1.0/24 -j wan-mz
iptables -A FORWARD -j DROP
#
# input
#
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j mz-local
iptables -A INPUT -i eth1 -j wan-local
iptables -A INPUT -i eth2 -s 192.168.2.0/24 -j dmz-local
iptables -A INPUT -j DROP
#
# mz-dmz
#
iptables -A mz-dmz -j ACCEPT
#
# wan-dmz
#
iptables -A wan-dmz -p tcp --dport smtp -j ACCEPT
iptables -A wan-dmz -p tcp --dport domain -j ACCEPT
iptables -A wan-dmz -p udp --dport domain -j ACCEPT
iptables -A wan-dmz -p tcp --dport www -j ACCEPT
iptables -A wan-dmz -p tcp --dport auth -j ACCEPT
iptables -A wan-dmz -p icmp -j ACCEPT
iptables -A wan-dmz -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A wan-dmz -j DROP
#
# mz-wan
#
iptables -A mz-wan -j ACCEPT
#
# dmz-mz
#
iptables -A dmz-mz -j ACCEPT
#
# dmz-wan
#
iptables -A dmz-wan -j ACCEPT
#
# wan-mz
#
iptables -A wan-mz -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A wan-mz -j DROP
#
# wan-local
#
iptables -A wan-local -j ACCEPT # for test
#iptables -A wan-local -j DROP
#
# dmz-local
#
iptables -A dmz-local -p tcp --dport auth -j ACCEPT
iptables -A dmz-local -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A dmz-local -j DROP
#
# mz-local
#
iptables -A mz-local -j ACCEPT

-----------------------------------------------------------------------


 


-- 
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
              http://www.gaz.co.jp
     GAZ (有)栗田 インターネット事業部
      栗田英和  kurita@xxxxxxxxx   
         tel082-926-0770 fax082-926-0771
               携帯090-8716-3262
   731-5151 広島市佐伯区五日市町上河内534
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/