[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:32270] NAT with iptables 訂正
栗田@gazです。
誠に変な質問メールを出しすみませんでした。
1.目的
ADSLでサーバーをグローバールアドレスで公開しているが
セキュリティ向上と増設余力を大きくするためdmzとmzを
設け自社PCをプライベートアドレスにする
その為今回オフラインでファイアウォールのテストを行っています。
2.環境
Linux使用バージョン 2.4.18 586tsc
ファイアウォール
NIC三枚差しLinux BOX
mz eth0 192.168.1.0/24
dmz eth1 192.168.2.0/24
wan eth2 a.b.c.d/28
3.テスト環境
テスト用に用意したPCはクロスケーブルでNICに接続
使用した設定は最後に記載させていただいたものです。
4.テスト
4.1テスト1
mz-dmz間でNAT無で FORWARD を eth0-eth2 間で設定しすべてACCEPTで
www,domain,smtpに付いてブラウザ,メールの送受信,ドメインネームでのping
を確認テストをしたところ全て正常に動作しました。
4.3テスト2
wan-dmz NATを設定した状況でwww及びpingをIP及びドメインネイムで行っても
通信が出来ない。
-j LOG をFORWARDの先頭に設定してログが記録されない。
試しにwan-localに-j LOGを追加するとログが記録されている。
4.4テスト3
再度kernelをインストールし直し。
ip_forward=yesに設定し、1枚のnicで立ち上げる。
nicに対しpingを打ち通るのを確認。
iptables −A INPUT -d a.b.c.d -j DROP
で通らなくなるのを確認後、−F し
iptables -t nat -A PREROUTNG -d a.b.c.x -j DNAT --to a.b.c.d
を設定。
ping a.b.c.x
を行うが通らない。
以上のような状況で、ここ1週間ぐらいかなり時間を割いてその他 色々やって
みたのですがらちがあきませんでした。
よろしくお願いします。
----------------------iptableの設定------------------------------------
#! /bin/sh
iptables -F iptables -X
iptables -t nat -F
#
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
#
iptables -N mz-dmz
iptables -N mz-wan
iptables -N dmz-mz
iptables -N dmz-wan
iptables -N wan-dmz
iptables -N wan-mz
iptables -N mz-local
iptables -N dmz-local
iptables -N wan-local
iptables -N icmp-acc
#
# nat
#
iptables -t nat -A PREROUTING -d a.b.c.d -i eth1 -j DNAT --to 192.168.2.2
iptables -t nat -A POSTROUTING -s 192.168.2.2 -o eth1 -j SNAT --to a.b.c.d
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to
a.b.c.e-a.b.c.f
#
# forward
#
iptables -A FORWARD -i eth0 -o eth2 -s 192.168.1.0/24 -d 192.168.2.0/24
-j mz-dmz
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.1.0/24 -j mz-wan
iptables -A FORWARD -i eth2 -o eth0 -s 192.168.2.0/24 -d 192.168.1.0/24
-jdmz-mz
iptables -A FORWARD -i eth2 -o eth1 -s 192.168.2.0/24 -j dmz-wan
iptables -A FORWARD -i eth1 -o eth2 -d 192.168.2.0/24 -j wan-dmz
iptables -A FORWARD -i eth1 -o eth0 -d 192.168.1.0/24 -j wan-mz
iptables -A FORWARD -j DROP
#
# input
#
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j mz-local
iptables -A INPUT -i eth1 -j wan-local
iptables -A INPUT -i eth2 -s 192.168.2.0/24 -j dmz-local
iptables -A INPUT -j DROP
#
# mz-dmz
#
iptables -A mz-dmz -j ACCEPT
#
# wan-dmz
#
iptables -A wan-dmz -p tcp --dport smtp -j ACCEPT
iptables -A wan-dmz -p tcp --dport domain -j ACCEPT
iptables -A wan-dmz -p udp --dport domain -j ACCEPT
iptables -A wan-dmz -p tcp --dport www -j ACCEPT
iptables -A wan-dmz -p tcp --dport auth -j ACCEPT
iptables -A wan-dmz -p icmp -j ACCEPT
iptables -A wan-dmz -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A wan-dmz -j DROP
#
# mz-wan
#
iptables -A mz-wan -j ACCEPT
#
# dmz-mz
#
iptables -A dmz-mz -j ACCEPT
#
# dmz-wan
#
iptables -A dmz-wan -j ACCEPT
#
# wan-mz
#
iptables -A wan-mz -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A wan-mz -j DROP
#
# wan-local
#
iptables -A wan-local -j ACCEPT # for test
#iptables -A wan-local -j DROP
#
# dmz-local
#
iptables -A dmz-local -p tcp --dport auth -j ACCEPT
iptables -A dmz-local -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A dmz-local -j DROP
#
# mz-local
#
iptables -A mz-local -j ACCEPT
-----------------------------------------------------------------------
--
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
http://www.gaz.co.jp
GAZ (有)栗田 インターネット事業部
栗田英和 kurita@xxxxxxxxx
tel082-926-0770 fax082-926-0771
携帯090-8716-3262
731-5151 広島市佐伯区五日市町上河内534
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/