- 締切済み
どうやらフォワーディングされているようです
お世話になっております LINUXで環境を構築していまして、困ったことがあります。 クライアントからのssh通信をLINUXサーバの2つのinterfaceへと行いたいです。 ロケーションを以下に示します「↓(矢印表記はLANケーブル)」 ------------- |クライアント | ------------- ↓(seg3) ------------- (seg2) |L3スイッチ |→→→→→↓ ------------- ↓ ↓ (seg1) ↓ ------------- ↓ |サーバ |←←←←←← ------------- L3SWからのseg1,seg2は各々サーバのeth1,eth2へ接続されています。 要件としましては、クライアントからseg1経由のssh接続、 seg2経由のssh接続を実現したいです。 通信自体はクライアントからサーバのポート(eth1,eth2)へ通信はできたみたいですけど tcpdumpで確認したところ、戻りのルートがサーバでフォワーディングしているようです。 つまり、以下のようになります。 クライアント→サーバeth1→サーバeth2→クライアント クライアント→サーバeth2→サーバeth1→クライアント 条件としては、戻りの通信経路を各々同一にしたいのですが、どのような設定すればよろしいでしょうか 例:つまり、以下のような通信を行いたいです。 クライアント→サーバeth1→サーバeth1→クライアント クライアント→サーバeth2→サーバeth2→クライアント ◆環境 OS:Red Hat Enterprise Linux ver5 ・eth1,eth2にGWを設定 GWはL3SWの接続先ポートを指定する ・L3は各ポートでVLANを切り、VLAN同士でルーティングさせている ・ping クライアント→L3SW(seg2port) OK クライアント→L3SW(seg1port) OK クライアント→サーバ(seg2port) OK クライアント→サーバ(seg1port) OK ・フォワードの設定 /proc/sys/net/ipv4/ip_forward 0 おわかりの方がいらっしゃいましたら、お手数ですがご教授願います。
- xylitol200
- お礼率68% (26/38)
- その他(ITシステム運用・管理)
- 回答数2
- ありがとう数0
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- winarrow07
- ベストアンサー率41% (143/346)
>NW構成環境に関してはお客様に言われたものです なるほど。。 >/proc/sys/net/ipv4/ip_forward 0 0ならばforwordの設定は無効と思います。 サーバ側から見た場合、クライアント1への通信はデフォルトゲートを使いますが、ゲートウェイが2つあるのでそれの優先度とかもあるのかなぁ。。 とか思いつつも分かりません。 確実に下記のようになるのでしょうか? クライアント→サーバeth1→サーバeth2→クライアント クライアント→サーバeth2→サーバeth1→クライアント たまにはちゃんと(?)帰ってくるのでしょうか?
- winarrow07
- ベストアンサー率41% (143/346)
そもそもなぜサーバが2つのネットワークに接続しているのか、とかが分かりません。seg2経由のSSHを実現したい理由もわかりません。 なぜこのような環境なのかの情報が欲しいかもしれません。 L3スイッチですのでseg3からseg1、seg2からseg1も当然スイッチできると思いますのでサーバはseg1にだけ繋がっていればいいのでは? PCがわざわざseg2を通過していく経路の必要性があまりわかりません。 2重化のためとも思えませんし。
補足
回答ありがとうございます NW構成環境に関してはお客様に言われたものです 上記のものよりサーバ台数が増えます。 ssh通信に関しては本当はseg2のみの経由になります しかし、現在はテスト環境の一環として上記の構成にし、sshを両方のセグメント(seg1,seg2)からたまたま行った時に気づいたものです 問題はssh通信の戻りのルートがなぜサーバをフォワーディングしてしまったのかをお聞きしたいです。
関連するQ&A
- iptables ポートフォワーディングについて
ポートフォワーディングの設定を行いたくて試しにやっているのですが、 うまくいかないので教えていただけないでしょうか。 WinXPクライアント(192.168.1.22) | Linuxルーター(eth0=192.168.1.40, eth1=192.168.2.41)起動しているサーバーはssh,telnet,ftp,http,postgresです。 | LinuxWebサーバー(eth0=192.168.2.81 port=80)起動しているサーバーはssh,telnet,ftp,http,postgres,cvspserverです。 WinXPクライアントからLinuxWebサーバーにアクセスしたいのですが、以下のように設定しても WinXPクライアントのブラウザには「サーバーが見つかりません」と表示されてしまいます。 他に追記すべき設定、お気づき等ございましたら教えてください。よろしくお願いします。 Linuxルーターのiptables設定内容(service iptables stopを行った後、以下を設定しております) iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.2.81:80 iptables -A FORWARD -d 192.168.2.81 -p tcp --dport 80 -j ACCEPT ------------------------------------------------------------- 上記設定後iptables -Lとしてみたら以下のように表示されました。 Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere 192.168.2.81 tcp dpt:http Chain OUTPUT (policy ACCEPT) target prot opt source destination さらにservice iptables saveをして cat /etc/sysconfig/iptablesとしてみたところ以下のように表示されました。 # Generated by iptables-save v1.3.5 on Sat Jan 30 11:46:10 2010 *nat :PREROUTING ACCEPT [2:280] :POSTROUTING ACCEPT [2:115] :OUTPUT ACCEPT [2:115] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.81:80 COMMIT # Completed on Sat Jan 30 11:46:10 2010 # Generated by iptables-save v1.3.5 on Sat Jan 30 11:46:10 2010 *filter :INPUT ACCEPT [148:9894] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [169:16447] -A FORWARD -d 192.168.2.81 -p tcp -m tcp --dport 80 -j ACCEPT COMMIT # Completed on Sat Jan 30 11:46:10 2010 ------------------------------------------------------------- ちなみに以下のように設定してWinXPクライアントからsshで192.168.1.40の10000ポートに接続すると接続できました。 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 10000 -j DNAT --to 192.168.2.41:22 ------------------------------------------------------------- 以下のように設定してWinXPクライアントから「telnet 192.168.1.40 10000」コマンドを発行してみるとしていない 時と比べて「接続中: 192.168.1.40...」となっている時間が長いので何かしら影響しているのかなと思います。 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 10000 -j DNAT --to 192.168.2.81:23
- 締切済み
- ネットワーク
- ポートフォワーディングのローカルフォワードのTCP
ポートフォワーディングのローカルフォワードのTCPのコネクション数について。 ローカルpcから踏み台サーバ経由で目的のサーバにhttpでアクセスする場合を考えます。 OSは関係ないと思いますが、ここではローカルpcはWindows、それ以外はlinuxとします。 まずはsshコマンドで # ssh 踏み台サーバ -L 10080:目的サーバ:80 でポートフォワーディングします。 ローカルpcのブラウザから http://localhost:10080 へアクセスすると目的サーバへ転送される認識です。 この時、ブラウザの複数のタブで同一URLにアクセスしても接続は可能ですか? 私の考えではhttpのレスポンスの宛先ポートがsshのトンネルのせいでブラウザのどのタブに紐づくポートへ返していいか判断できないのではないかと思っています。 質問文が分かりにくい場合は補足させていだきますのでご回答のほどよろしくお願いします。
- 締切済み
- ネットワーク
- catalystの設定について
2つのLANを接続するのにcatalyst3560-24を利用します。 L3スイッチの設定で3点ご質問があります。 仕様 ・LAN10,LAN20は既存のLANでL2SWによりSTPが設定されている。 ・2台のL3SWでホットスタンバイ構成にしVLAN10,20間を結ぶ ・VLAN10を1~10ポート、VLAN20を11~20ポートに割当てる LAN20 ----------- --------- | L2SW-A |----------------------| L2SW-B | ----------- ------- | | |p11 |p11 ----------------- ------------------ |VLAN20 p11~20 |p23 p23 |VLAN20 p11~20 | | L3SW-1(main) |-------------- | L3SW-2(sub) | |VLAN10 p1~10 | VLAN30(TRUNK) |VLAN10 p1~10 | ------------------ ---------------- |p1 |p1 | | ------- -------- |L2SW-1| ------------------ |L2SW-2| ------- --------- LAN10 1、スイッチをホットスタンバイ構成とするためにHSRPを使用します。 HSRPはポート単位の制御は可能なのでしょうか? 例えばL3SW-1のVLAN10のp2~10にサーバなどを設置し、 p1のリンクが切れた際、subに切り替わる設定は可能でしょうか? 2、L3SWでSTPの設定をする必要はあるのでしょうか? また、L3SWを接続した際は一時的にネットワークが再構成される のでしょうか? 3、VLAN10側のL3SW-1のp2とL2SW-2、L3SW-2のP2とL2SW-1をたすきがけ に接続して冗長構成をとることも考えています。 この場合、L3SWのSTP設定と実際に接続する際に気をつけることは あるのでしょうか? 現在ネットワーク構成を考えていて非常に困っています。 どうぞよろしくお願い致します。
- ベストアンサー
- ネットワーク
- パケットの流れが指定先と違う?
気になったのですが。 linuxサーバのeth0とeth1に異なるグローバルIPアドレスが振り、 iptablesで両方のsshへのアクセスを許可しているのですが、 sshの通信でどちらのIPアドレスを指定してもパケットがeth0側に流れるようなのです、これはなぜでしょうか? クライアントはteratermを使用しており、パケットの確認には、 tcpdump -i eth0又はeth1 port 22を使用しております。 GATEWAYDEVはファイルで明示的に指定しておりません。
- 締切済み
- その他(ITシステム運用・管理)
- VLANの構築方法(Linux)
大変お世話になっております。 VLANを構築しようと考えているのですが 上手く設定が出来ません。 下記の方法が可能かどうかチェックとご意見を伺えたらと思います。 よろしくお願いします。 構成) ハードウェアノード eth0 IP:192.168.1.10/16 クライアント1 IP:192.168.10.100/16 クライアント2 IP:192.168.1.100/16 (1)ハードウェアノードのeth0上にeth0.1を作成eth0.1のアドレスを「192.168.10.10/16」と設定。 (2)「eth0 IP:192.168.1.10/16」をVLAN1と定義。 (3)「eth0.1 IP:192.168.10.10/16」をVLAN2と定義。 (4)クライアント1 IP:192.168.10.100/16をVLAN1と接続。 (5)クライアント2 IP:192.168.1.100/16をVLAN2と接続。 上記のように設定をしたのですが、 ハードウェアノードからpingを実施したときに ハードウェアノード(eth0.1経由)→クライアント1 NG ハードウェアノード(eth0経由)→クライアント2 OK と作成したVLANアダプタeth0.1を中継してのpingが通りません。 何が原因でしょうか。 大変申し訳ございませんが、分かる方がいらっしゃいましたらご教授願いたいと思います。 よろしくお願いします。 作成手順などもお教え頂けたら嬉しいです。
- ベストアンサー
- ハードウェア・サーバー
- L3スイッチとL2スイッチのVLANについて
以下、L3スイッチとL2スイッチのVLANについてご存知の方、教えてください。 少し長文ですが、困っているのでよろしくお願いします。 質問の部分は☆印のところです。 L3スイッチ(Catalyst3560)にVLANを3つ作成し、各VLAN間通信を許可する。 ・VLAN1:192.168.10.0/24 (1port~8portを使用) ・VLAN2:192.168.20.0/24 (9port~16portを使用) ・VLAN3:192.168.30.0/24 (17port~24portを使用) L2スイッチ(Catalyst2960)にVLANを3つ作成し、各VLANの1ポートは、L3のVLANに接続する。 ・VLAN1:1port~8portを使用 →L3の1ポート目に接続 ・VLAN2:9port~16portを使用 →L3の9ポート目に接続 ・VLAN3:17port~24portを使用 →L3の17ポート目に接続 ネットワークアドレスが異なる各PC群を、L2に接続し、全PC間通信を可能とする。 →最終目標 質問の背景としては、もともとPCをL3に直接接続して、全PC間の通信を行う予定が、 PCが激増し、L2を介して通信することとなりました。 実際、L2スイッチは48ポートです。 L3スイッチに対する、VLANの設定、VLAN間通信の設定はできています。 質問事項 ☆L3スイッチの設定 おそらく、現在のVLANの設定はポートVLANだと思われます。 L2スイッチとVLAN間同士で通信する場合、タグVLANという考え方が必要になるのでしょうか。 この構成におけるL3スイッチに必要な設定を教えてください。 現在行っている設定は、以下のサイトを参考に設定しました。 http://www.infraexpert.com/study/vlan1.1.htm ☆L2スイッチ VLANを作成するにあたって、L3スイッチとVLAN-IDやVLAN-NAMEを合わせる必要があるのでしょうか。 また、L2スイッチにはIPアドレスを1つしか設定できないという認識で、且つL2スイッチにIPアドレスの 設定は不要という認識です。 この構成の場合、特にIPアドレスの設定は必要ないでしょうか。
- ベストアンサー
- ネットワーク
- catalyst の DHCPリレーの設定について
DHCPリレーの設定についてご教示ください。 以下の設定で、L2sw の Gi0/2 に接続されたDHCPクライアント(192.168.3.0)が、L2sw の Gi0/1 に接続されたDHCPサーバ(192.168.2.10)よりIP取得ができません。 なお、クライアントに固定IP(192.168.3.0)を与えた場合、問題なくDHCPサーバにL3swを経由し疎通できていることを確認しています。 なお、DHCPサーバの設定は、問題ないものと仮定させていただきます。 些細な情報でも構いませんので、何卒よろしくお願い致します。 ■L3sw(catalyst3750:version 12.2) ・Gi1/0/1 には、関係のないL2スイッチが接続 (FW:192.168.2.100が接続されている) ・Gi2/0/1 には、L2sw(catalyst2960G)が接続 ip routing ! interface GigabitEthernet1/0/1 switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet2/0/1 switchport trunk encapsulation dot1q switchport mode trunk ! interface vlan1 ip address 192.168.1.1 255.255.255.0 interface vlan2 ip address 192.168.2.1 255.255.255.0 interface vlan3 ip address 192.168.3.1 255.255.255.0 ip helper-address 192.168.2.10 ip route 0.0.0.0 0.0.0.0 192.168.2.100 ■L2sw(catalyst2960G:version 12.2) ・Gi0/1 には、DHCPサーバ(192.168.2.10)が接続 ・Gi0/2 には、DHCPクライアントが接続 ・Gi0/48には、L3sw(catalyst3750)が接続 interface GigabitEthernet0/1 switchport access vlan 2 switchport mode access ! interface GigabitEthernet0/2 switchport access vlan 3 switchport mode access ! interface GigabitEthernet0/48 switchport mode trunk ! interface vlan1 ip address 192.168.1.2 255.255.255.0 interface vlan2 ip address 192.168.2.2 255.255.255.0 interface vlan3 ip address 192.168.3.2 255.255.255.0 ! ip default-gateway 192.168.1.1
- 締切済み
- ネットワーク
- Debianのルーティングについて
サーバ初心者ですがルーティングで困っています。 Linux Debian3.1r2 sargeでのルーティングについて質問させてください。 NICが2枚(それぞれにIPが振ってあります)あるサーバマシンで、ポート単位でパケットのルーティングの条件を振り分けるようなことは可能なのでしょうか? あるとしたら方法をご教示いただけないでしょうか・・・ 例) HTTP(80)<----->|eth0 ssh(22)<------>|eth1 HTTPはeth0で送受信を行う。 SSHはeth1で送受信を行う。 例のあまり意味が無いかもしれません・・・ すみません。
- 締切済み
- Linux系OS
- サーバ間通信ができない
L3スイッチーL2スイッチーLinuxサーバ2台という構成ですが サーバ間通信(同時)ができない状態です。 しかしサーバのケーブルを1本抜くとつながらなかった側の サーバがつながるようになります。 そして片側のサーバをもう片方のLANにつなぐと これも通信できます。 スイッチの設定としてはL3にGWの設定 L3-L2間はトランクでVLANを通している状態です。 サーバーL2はアクセスポート(同VLAN)です。 このことからL2スイッチは行きはGWまで届くが L2からサーバへは届かない状態かと思います。 実際、このような状態の場合どのあたりを疑いを付ければ よろしいでしょうか?
- 締切済み
- ネットワーク
- WRC-X3000GSでポートフォワードができな
WRC-X3000GSでDDNSを使って家のLinuxサーバにSSH接続したいのですが、ポートフォワードの機能を設定しても外部から接続できません。 外部ポートを参照してもSSHのポートが空いてないようなので設定が反映されてないように見えます。以下、設定状況です。不足あればご指摘いただければ。 ・ルーターモードで実行 ・PPPoEで接続 ・Linux側には固定DHCPでIPアドレス固定 ・WRC-X3000GSのポートフォワード設定にポート22を追加 ※OKWAVEより補足:「エレコム株式会社の製品」についての質問です。
- ベストアンサー
- その他(インターネット接続・通信)
補足
回答ありがとうございます ゲートウェイの優先度についても考えました しかし、優先度があるのならseg1,seg2からの通信があった場合、どちらともフォワーディングのような現象はおきないと思います また、事象に関しましては確実に以下のようになります クライアント→サーバeth1→サーバeth2→クライアント クライアント→サーバeth2→サーバeth1→クライアント ※それぞれ5~7回以上試しました