インターネットに繋がらない問題の解決方法
- インターネットに繋がらない問題の原因として、ファイアーウォールの設定が考えられます。
- 具体的な解決策として、ファイアーウォールの設定を確認し、ポート80を開けるように設定することが挙げられます。
- また、インターネットに繋がらない原因として、ルータの設定やIPアドレスの設定も確認する必要があります。
- ベストアンサー
インターネットに繋がらない
他の、フォーラムに投稿しましたが、回答を得れず。gooに投稿させていただきます。 添付のネットワークに付き、ファイアーウォールのLAN側にルータをつけたく試みていますがインターネットに上手く繋がりません。 Windows XP(192.168.1.5)のパソコンから192.168.10.2にはpingが繋がるのですが、iptablesを入れた状態でも外した状態でも、192.168.10.1にpingが通らないのが原因と思うのですが、如何を直せは良いのかが分かりません。ご指南を宜しくお願いします。 尚、 1)ネットワークは全て静的アドレスで設定しています。 ファイアーウォール・WebサーバのOSはDebian のEtchです。 2)LAN側に置いているルータはコレガ(CG-WLBARAG): http://www.corega.co.jp/support/manual/pdf/wlbarag_b.pdf 68ページの「社内ランとして使用するには」で設定 LAN状態: MACアドレス: 00-0A-89-B4-C2-xx IPアドレス: 192.186.1.1 サブネットマスク: 255.255.255.0 DHCP: 有効 DHCP開始アドレス: 192.168.1.11 DHCP終了アドレス: 192.168.1.254 WAN状態 MACアドレス: 00-0A-89-B4-C3-xx WAN 1: 有効 IPアドレス: 192.168.10.2 サブネットマスク: 255.255.255.0 ゲートウエイ: 192.168.10.1 DHCPサーバー1: 202.224.32.1 DHCPサーバー2: 202.224.32.2 3)XPのパソコン: C:¥Document&Setting¥Owner> ipconfig P Address ・・・・ : 192.168.1.5 Subnet Mask ・・・ : 255.255.255.0 Default Gateway ・ : 192.168.1.1 4)ファイアーウォール: Debian:~# route Destination Gateway Genmask Flags Iface Fnbinim7.asahi-n * 255.255.255.0 UH ppp0 192.168.1.0 192.168.10.2 255.255.255.0 UG eth2 192.168.10.0 * 255.255.255.0 U eth2 Default * 0.0.0.0 U ppp0 Debian:~# cat /etc/resolv.conf Nameserver 202.224.32.1 Nameserver 202.224.32.2 5)iptables: #!/bin/sh # === SECTION A # ----------- FOR EVERYONE INTNET="192.168.10.0/24" INTIP="192.168.10.1" INTIF="eth2" EXTIF="ppp0" # === SECTION B # ----------- FOR THOSE WITH STATIC PUBLIC IP ADDRESSES EXTIP="212.2.145.xxx " # -------- No more variable setting beyond this point -------- の行の述以降は添付URLのファイアーウォールの記述に以下を追加してあるだでです。 # FORWARD: iptables -A FORWARD -i $EXTIF -o $INTIF -d 192.168.10.5 -p tcp --dport 80 -j ACCEPT # POSTROUTING: iptables -t nat -A PREROUTING -i $EXTIF -d $EXTIP -p tcp --dport 80 -j DNAT --to 192.168.10.5 Webサーバの192.168.10.5は問題なく機能します。 宜しくお願い申し上げます。 http://www.aboutdebian.com/firewall.htm
- ネットワーク
- 回答数3
- ありがとう数4
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
サブネットマスクが 255.255.255.0 ですから、192.168.1.5 と 192.168.10.2 は別々のサブネットにいます。したがって接続はできません。 どちらかのサブネットに寄せてください。
その他の回答 (2)
- kusa_mochi
- ベストアンサー率76% (1599/2089)
>上位ルータ(NT T)のルーティングテーブル設定に「宛先ネットワークアドレスルーティング設定(ゲートウェイIPアドレス指定」欄があり、その、宛先ネットワークアドレスを >192.168.1.0 / マスク長を255.255.255.0 / ゲートウェイIPアドレスを1092.168.10.2 としたのですが、何の変化もありませんでした。 この文章を読んで、質問主殿はネットワークに関して基礎知識がない素人若しくは初心者レベルであることが分かった。 (基礎知識があるとは、ネットワーク関連の資格を持っているとか、ネットワーク関連の資格を取る為に勉強していたことがあるという意味です) 基礎が無いと、今後ネットワーク関連で構成変更やトラブルが出てきたら対処できずに往生する羽目になると思う。 私は、 ・セグメントを3つも持たず、1つに集約する ・セグメントを3つ持つようなネットワーク構成をどうしても望むなら、専門家(ITコンサルとか)に相談してネットワーク構成やルーターの設定をしてもらう ※社内の専門家でも社外の有料コンサルタントでもどちらでも良いのですが のどちらかを選んだ方が良いと思う。 多段ルーターというのは、素人には鬼門というか敷居が高いのです。 そもそも多段ルーターのネットワーク構成をする必要がある理由が、 ・本社の人間のPCと協力会社の人間の使うPCをネットワーク的に切り離したい というのであれば、VLAN機能を使うという方法でもっとシンプルなネットワーク構成が出来る筈です。 まあ上記とは違う理由かも知れませんが、「多段ルーターを使わなければいけない理由」をもう一度考慮し直し、別の方法で代替出来ないか考えてみることをお勧めします。
- kusa_mochi
- ベストアンサー率76% (1599/2089)
状況的には2段ルーター状態という事でいいのかな? インターネット網---192.168.10.xのセグメント---Coregaのルーター---192.168.1.xのセグメント という感じで。 pingをした際のパケットの中継の動作を頭の中でシミュレートしてもらえば分かるのですが、行き(往路)のパケットは届きますが、帰り(復路)のパケットは192.168.1.5のPCに届きません。 詳しく説明すると、 パケットを受け取った192.168.10.1は192.168.1.5に対してパケットを送り返しますが、ネットワークアドレスが異なる為Default Gateway(インターネット網に繋がっているルーター)にパケットを投げます (これ自身がルーターならインターネット網に対してパケットを投げる) 本当は、2段ルーターのWAN側アドレスである192.168.10.2に対してパケットを投げないといけないのです。 ここまで書けば、分かったと思いますがルーティングテーブルに追加登録が必要なのです。 192.168.1.xのセグメントへのGatewayは192.168.10.2ですよ というルート情報が。 上記ルーティング情報を192.168.1.xと通信する(192.168.10.x内の)全PCに登録するか、(192.168.10.xの)Default Gatewayに登録するかどちらかを行って下さい。 それでpingの応答が返ってくるはずです。 #インターネットに繋がらないのも、同様な理由です #インターネット網に繋がっている1段目のルーターが192.168.1.xのセグメントが何処にいるか分からない為に復路のパケットが行方不明になるのです #こちらの問題は1段目のルーターに上記と同じルーティング情報を追加登録すれば解決します
お礼
お礼の返事が遅れまして申し訳ありません。 ご指摘の事項を試してみたのですが、私の能力では如何ともしがたく、今だ解決に至っていません。 最初は補足欄に記述した1番目の設定でpingが通るように試みましたが、ご指摘を考慮にいれて2番目の設定で試しています。 Iptablesを入れない状態で、ファイアーウォールのパソコンからであれば192.168.1.1を含みpingは全てのアドレスに通ります。ウェブサーバからですと、192.168.10.2までは届きます。 問題はウインドウズXPのパソコンからでPingは192.168.10.2までで192.168.10.1には如何しても繋がりません。 補足欄の2番目の設定にて操作としてコレガのルータにあるスタティクルーティングを ネットワーク・アドレス サブネットマスク ゲートウエイ インターフェース 192.168.2.0 255.255.255.0 192.168.10.1 WAN 192.168.10.0 255.255.255.0 192.168.1.1 LAN Ethernet とする。 ファイアーウォールは Debian:~# route add –net 192.168.1.0 netmask 255.255.255.0 gw 192.168.10.2 上位ルータ(NT T)のルーティングテーブル設定に「宛先ネットワークアドレスルーティング設定(ゲートウェイIPアドレス指定」欄があり、その、宛先ネットワークアドレスを 192.168.1.0 / マスク長を255.255.255.0 / ゲートウェイIPアドレスを1092.168.10.2としたのですが、何の変化もありませんでした。 ちなみにNTTルータには 送信元アドレスルーティング設定 ドメイン名ルーティング設定 宛先ネットワークアドレスルーティング設定(接続指定) の設定欄があります。 >ルーティング情報を192.168.1.xと通信する(192.168.10.x内の)全PCに登録するか、(192.168.10.xの)Default Gatewayに登録するかどちらかを行って下さい Debianには /etd/hosts にホスト名を付け足すことが出来るようですが、ここに全てのPCを登録すれば解決するのか、分かれば再度ご教授頂ければ幸いです。
補足
1)最初の設定: インターネット ↓ ルータ(192.168.2.0/24) ↓ (212.331.2.43xx)パブリック・アドレス ファイアーウォール(OS Debian) (192.168.10.1) ↓ スイッチ → (192.168.10.5)ウェブサーバ(OS Debian) ↓ (192.168.10.2) ルータ(コレガ) (192.168.1.1) ↓ ウインドウズXP (192.168.1.5) 2)今回の設定: インターネット ↓ (212.331.2.43xx)パブリック・アドレス ルータ(192.168.2.2から192.168.2.11がDHCP有効) ↓ 192.168.2.25 ファイアーウォール(OS Debian) (192.168.10.1) ↓ スイッチ → (192.168.10.5)ウェブサーバ(OS Debian) ↓ (192.168.10.2) ルータ(コレガ) (192.168.1.1) ↓ ウインドウズXP (192.168.1.5)
関連するQ&A
- DMZのLinuxサーバでメールとFTPができません。
RedHatLinux9でサーバを構築しました。 DMZにWEBサーバとメールサーバをつなげたのですが、WEBサーバは見えるのですが、メールサーバがつながりません。メールサーバには、sendmail と UWIMAP を使用しています。FTPでもDMZのサーバにログインできません。FFFTPでつなげようとすると、“Listenソケットが取得できません”と表示されます。 何が原因と考えられますか? iptables には、 (WANはppp0、DMZはeth1、LANはeth2、) iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i eth2 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth2 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i ppp0 -o eth1 -p tcp -d aaa.bbb.cc.ddd/32 --dport 80 -j ACCEPT iptables -A FORWARD -i ppp0 -o eth1 -p tcp -d aaa.bbb.cc.ddd/32 --dport 25 -j ACCEPT iptables -A FORWARD -i eth1 -o ppp0 -p tcp -s aaa.bbb.cc.ddd/32 --dport 25 -j ACCEPT という記述がなされています。 iptables -A FORWARD -i eth2 -j ACCEPT これだけでは、FTPでログインできないんでしたっけ。。 iptables -A FORWARD -i eth2 -j ACCEPT iptables -A FORWARD -i ppp0 -o eth1 -p tcp -d aaa.bbb.cc.ddd/32 --dport 25 -j ACCEPT iptables -A FORWARD -i eth1 -o ppp0 -p tcp -s aaa.bbb.cc.ddd/32 --dport 25 -j ACCEPT メールもこれだけではだめなんでしょうか?
- ベストアンサー
- Linux系OS
- ポートフォワードについて
よろしくお願いいたします。 Linux上で2枚のLANカードでルーターを構築中です。 環境は、 eth0:インターネットへ(外へ) eth1:ローカルネット(内へ) 接続しています。 設定したiptables(ポートフォワードの部分)は、以下のとおりです。 iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.2:80 iptables -A FORWARD -i eth0 -p tcp --dport http -j ACCEPT iptables -A FORWARD -o eth0 -p tcp --sport http -j ACCEPT 実際外部から内部のwebサーバーにつながるのですが、 ルータ上から、ルータに割り当てられたグローバルIPアドレスで、 内部webサーバのホームページを見ようとすると見れません。 何か他に設定しないといけないのでしょうか?
- 締切済み
- その他(OS)
- Linux 複数ISP時でのiptablesの設定
ローカルとサーバー用にISPを分けて使用したいのですがその際の設定についてお聞かせください。 環境としてましてはISP1とISP2共に動的IP。CentOS6.2にNIC二枚挿しでルータ兼サーバとして使用しています。 インターネット ― (eth1)サーバ兼ルーター(eth0) ― ローカルPC サーバーIP:192.168.0.10 ネットワークアドレス:192.168.0.0/24 ppp0:ISP1(ローカルPC用) ppp1:ISP2(サーバ専用) 上記のようにしたいのですが現在はppp0のみで接続しています。 これにppp1を追加しサーバ専用に使いたいのですが思うようにいきません。 ppp0の設定をコピーしppp1を追加しifconfigにてppp1が稼動している事を確認。ip routeを設定してみるもうまくいかず。iptablesの設定も変えないといけないと思うのですが今一わかりません。 現在のppp0のみの設定は下記になります。これにppp1をサーバ用に追加するにはどうしたらいいか。 WAN='ppp0' LAN='eth0' LOCALNET='192.168.0.0/24' #----------------# # デフォルトルール # #----------------# iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT #---------------------------------# # 自ホストからのアクセスをすべて許可 # #---------------------------------# iptables -A INPUT -i lo -j ACCEPT #---------------------------------------------# # ローカルネットアドレスからのアクセスをすべて許可 # #---------------------------------------------# iptables -A INPUT -i $LAN -j ACCEPT iptables -A FORWARD -i $LAN -j ACCEPT #------------------------------------------------# # ローカルネットワーク内からのインターネット接続を許可 # #------------------------------------------------# iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward #--------------------------------------------------------# # 内部から行ったアクセスに対する外部からの応答アクセスを許可 # #--------------------------------------------------------# iptables -A INPUT -i $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT ~中略~ #----------------------------------------------------# # Webサーバー(80番ポート)HTTPへのアクセスをすべて許可 # #----------------------------------------------------# iptables -A INPUT -p tcp --dport 80 -j ACCEPT 上の設定の場合ppp1を追加する場合、WAN2を追加しWANを記述するべき箇所をコピーし追記するのか?もしくはeth1としたほうがいいのか? 例1: iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE WAN2='ppp1' iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE iptables -t nat -A POSTROUTING -o $WAN2 -j MASQUERADE 例:2 iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE WAN='eth1' iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE 正確な設定方法がわかりませんのでどこをどうすれば良いのか教えていただけると助かります。よろしくお願いします。
- 締切済み
- Linux系OS
- DynDNSでIPの自動更新ができません
DynDNSのDynamicDNSを使っていますが30日間IPの更新しないと「期限切 れ」の通告が来ました。玄箱(初代)でOSはdebian(etch)です。 ddclientの設定ミスでしょうか?iptablesの設定ミスでしょうか? (ddclientの導入手順) ddclientインストール # apt-get install ddclient ↓以下の質問に答えていく DDNSサービスはwww.dyndns.org 登録ドメイン名は[収得したアドレス] [ユーザー名]と[パスワード]入力 interfaceは無記入 PPPは[No] デーモンの自動起動は[yes] 更新間隔は[300] 起動しているddclientの機能を止めてからファイルの修正をする # /etc/init.d/ddclient stop # vi /etc/ddclient.conf daemon=600 #cache=/tmp/ddclient.cache #pid=/var/run/ddclient.pid use=web, web=checkip.dyndns.com/, web-skip='IP Address' login=登録したユーザ名 password=登録したパスワード protocol=dyndns2 server=members.dyndns.org wildcard=YES siruko.dyndns.org ←登録したドメイン名 #custom=yes, example.com syslog=yes # /etc/init.d/ddclient start (iptablesの設定) # iptables -L ←設定の閲覧 # iptables -F ←設定の初期化 # iptables -P FORWARD ACCEPT ←FORWARDの全てを許可 # iptables -P OUTPUT ACCEPT ←OUTPUTの全てを許可 # iptables -A INPUT -s 127.0.0.1 -j ACCEPT ←ループバックア ドレスは全て許可 # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ←接続済みのものは全て許可 # iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT ←www を許可 # iptables -A INPUT -p tcp -i eth0 --dport 25 -j ACCEPT ←postfixを許可 # iptables -A INPUT -p tcp -i eth0 --dport 20:21 -j ACCEPT ←ftpを許可 # iptables -A INPUT -p tcp -i eth0 --dport 50000:50029 -j ACCEPT ←ftp:PASVを許可 # iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 110 -j ACCEPT ←LAN内のpop3を許可 # iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 22 -j ACCEPT ←LAN内のsshを許可 # iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 445 -j ACCEPT ←LAN内のSamba接続許可 # iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 137 -j ACCEPT ←LAN内のSamba接続許可 # iptables -A INPUT -p udp -i eth0 -s 192.168.0.0/24 --dport 138 -j ACCEPT ←LAN内のSamba接続許可 # iptables -A INPUT -p udp -i eth0 -s 192.168.0.0/24 --dport 139 -j ACCEPT ←LAN内のSamba接続許可 # iptables -A INPUT -p udp -i eth0 -s 192.168.0.0/24 --dport 631 -j ACCEPT ←LAN内のCUPS接続許可 # iptables -P INPUT DROP # /etc/init.d/iptables save active # iptables-restore /var/lib/iptables/active # vi /etc/init.d/iptables_restore #!/bin/sh PATH=/bin:/usr/bin:/sbin:/usr/sbin iptables-restore /var/lib/iptables/active # chmod a+x /etc/init.d/iptables_restore # update-rc.d iptables_restore defaults # iptables -L # iptables -D INPUT 2 # iptables -D です。間違っている所を教えて下さい。
- 締切済み
- Linux系OS
- iptablesでFTPのパッシブモード通信許可
こんにちは。 iptablesの学習でテスト用のFWサーバーと2台のWebサーバーをつくりました。 いまはForwardでアクセスごとに転送先を振り分ける実験をしています。 FTPのForward設定でわからないことがあるので質問させてください。 やりたいこと: ip_conntrack_ftpを組み込めばiptablesにいちいちパッシブ通信の使用ポートすべてを指定しなくても、モジュールが自動で制御してくれるという情報をネットで見かけ、それをやってみようと考えています。ところがどうがんばってもFTPのパッシブモードがつながりません。FTP以外のサービス、たとえばDNS, NTP, HTTP等のForwardは問題なく行えています。 環境: FWサーバー → CentOS6 iptablesで外部からのアクセスをブロックしたり、振り分けたり。 WEBサーバー → CentOS6 apacheとvsftpdでWebサーバーを構成。iptables無効です。 ルーター → 業務用ですがファイアウォール等はすべて無効になっています。 111.222.333.0はグローバルIPアドレスです。 192.168.1.0はローカルIPアドレスです。 -eth0(WEB_SERVER1) | 192.168.1.2(→111.222.333.2) (ONU)-(ROUTER)-eth0(FW_SERVER)eth1----| 111.222.333.1(eth0) | 111.222.333.2(eth0:1) -eth0(WEB_SERVER2) 111.222.333.3(eth0:2) 192.168.1.3(→111.222.333.3) 192.168.1.1(eth1) FWサーバーのiptable設定: net.ipv4.ip_forward = 1 ip_conntrack_ftpモジュール有効 ip_nat_ftpモジュール有効 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP . .(一部省略) . # HTTP iptables -A FORWARD -p tcp -i eth0 -o eth1 -m multiport --dport 80,443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp -i eth1 -o eth0 -m multiport --sport 80,443 -m state --state ESTABLISHED,RELATED -j ACCEPT # FTP(ここをどうしたらいいのかわからない) iptables -A FORWARD -p tcp --dport 21 -j ACCEPT iptables -A FORWARD -p tcp --sport 21 -j ACCEPT # Webserver1 iptables -t nat -A PREROUTING -i eth0 -d 111.222.333.2 -j DNAT --to-destination 192.168.1.2 iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.2 -j SNAT --to-source 111.222.333.2 # Webserver2 iptables -t nat -A PREROUTING -i eth0 -d 111.222.333.3 -j DNAT --to-destination 192.168.1.3 iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.3 -j SNAT --to-source 111.222.333.3 上記設定でFTPのForward部分をmultiportにしてポート20を入れたり除いたり、NEWやESTABLISHEDやRELATEDを入れたり消したり、いろいろ試行錯誤していますがFilezillaで下のようなエラーがでます。 PASV レスポンス: 227 Entering Passive Mode (111,222,333,2,92,226). コマンド: LIST エラー: 接続タイムアウト エラー: ディレクトリ一覧表示の取り出しに失敗しました 説明が長くて恐縮ですがよろしくお願いします。 <(_ _)>
- ベストアンサー
- ネットワーク
- debian6でブリッジ接続
古いノートPCにdebian6をインストールしました。 NICは1枚ですが、USBのNICを使っています。 設定上、eth0とeth1は問題なく認識しています。 eth0はDHCPサーバの役割もしており、eth0から出たケーブルをハブにさし、 そのハブに接続すると、IPアドレスが振られます(クラスA)。 eth1はその先にあるルータ(RTX1200)からIPアドレス(クラスC)をもらっています(DHCPにしていません)。 eth1から出たケーブルをハブにつなぎ、そのハブに接続したPCはインターネットに出られます。 問題はeth0です。 eth0に接続したPCはインターネットに出られません。 ipフォワディングには1を立てているので、出られるはずなのですが…。 ちなみに、インターフェースの再起動やDHCPサーバの再起動などは何度もやっております。 設定として足りないところはあるでしょうか? 補足情報です。 eth0のDHCPからアドレスをもらったPCはeth1のNICにアドレスに導通が取れます。 その逆もそうです。 しかし、eth1のNICより先(ルータなど)には通りません。 おわかりの方、ぜひともアドバイスをお願いいたします。
- ベストアンサー
- ネットワーク
- ローカル環境でwebサーバーにつながらない
こんにちは。現在自宅サーバーを作っているものです。 先日パソコンAにwebサーバーを作りました。そのパソコン自身からはindex.htmlが見えます。 しかし、同じローカル下にあるパソコンBからhttp://<192.で始まるパソコンAのローカルIP>で接続してもindex.htmlが見れません。 現在試したこと、分かったことは以下です。 ・ファイアウォールを停止(service iptables stop)をするとパソコンBからindex.htmlがみれる ・DDNSを既に登録しており、外部からhttp://<登録したホスト名>で接続するとindex.htmlが見れる ・パソコンBからパソコンAへのローカルipへのpingは応答が確認されている ・iptablesには以下の3つを追加 /sbin/iptables -A INPUT -p tcp --dport http -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport https -j ACCEPT /sbin/iptables -A INPUT -s 192.168.11.0/24 -j ACCEPT ファイアウォールを停止すると接続できるできることからiptablesに問題があると思うのですが、なにを削除、もしくは追加すればいいのか分かりません。 よろしくお願いします。
- 締切済み
- ネットワーク
- iptablesを使用してのDNSゾーン転送の設定。
今後Linuxをルーターとしてサーバー公開を目指しています。 グローバルIP=10.10.10.10(ルーターインターフェース=eth0) プライベートIP=192.168.0.1(ルーターインターフェースeth1) PrimaryDNS=10.10.10.10:53をプライベートIPに変換=192.168.0.2:53 セカンダリDNS=20.20.20.20 Linuxルータはiptablesのみ動作。 primaryDNSサーバーはwindows2000を使用しています。 iptablesにより、Preroutingを使用して10.10.10.10:53→192.168.0.2:53の変換。 POSTROUTINGにより192.168.0.2→10.10.10.10:53へ変換と設定しています。 # iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 -dport53 -j DNAT -to-destinalion 192.168.1.20:53 # iptables -t nat -A POSTROUTING -p tcp -s 10.10.10.10 -sport53 -j SNAT -to-source 192.168.1.20:53 # iptables -t nat -A PREROUTING -p udp -d 10.10.10.10 -dport53 -j DNAT -to-destinalion 192.168.1.20:53 # iptables -t nat -A POSTROUTING -p udp -s 10.10.10.10 -sport53 -j SNAT -to-source 192.168.1.20:53 そこで質問なのですが、この際Win2000でゾーン転送のセカンダリDNSの宛先アドレスはどうしたらよろしいのでしょうか? その際、iptablesの記述も教えてください。 一応、 # iptables -A FORWARD -p tcp -dport53 -j ACCEPT # iptables -A FORWARD -p udp -dport53 -j ACCEPT 53ポートのtcp,udpを許可しています。
- 締切済み
- Linux系OS
- iptablesでアドレス変換したい
初心者です。 iptablesの勉強中ですが、アドレスの変換がうまくできず行き詰っています。 下図のように Mannaka をはさんで隔離された実験環境をつくりました。ここでやりたいことは、とにかくどんなアクセスやプロセスでもいいので、Mannaka をはさんで 192.168.10.10 <--> 192.168.20.100 192.168.10.20 <--> 192.168.20.200 というアドレス変換を実現したいということです。実験なのでセキュリティは度外視し、とにかくつながることを優先しています。Server1とServer2ではWebサーバーが動いていて、Apacheのインストールページが表示されます。 (192.168.20.100) Server1―― | |―(eth1)Mannaka(eth0)―――PCs(192.168.10.X) | (eth0=192.168.10.10)Mannaka IP Server2―― (eth1=192.168.20.10)Mannaka IP (192.168.20.200) --- (eth0:1=192.168.10.100)Server1 IP (eth0:2=192.168.10.200)Server2 IP iptablesの設定は下記のようにしました。 ---------- ---------- #!/bin/sh service iptables restart echo 1 > /proc/sys/net/ipv4/ip_forward iptables -F iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -A FORWARD -d 192.168.10.10 -s 0.0.0.0 -j ACCEPT iptables -A FORWARD -d 0.0.0.0 -s 192.168.10.10 -j ACCEPT iptables -A FORWARD -d 192.168.10.20 -s 0.0.0.0 -j ACCEPT iptables -A FORWARD -d 0.0.0.0 -s 192.168.10.20 -j ACCEPT iptables -t nat -A PREROUTING -d 192.168.10.10 -j DNAT --to 192.168.20.100 iptables -t nat -A PREROUTING -d 192.168.10.20 -j DNAT --to 192.168.20.200 iptables -t nat -A POSTROUTING -s 192.168.20.100 -j SNAT --to 192.168.10.10 iptables -t nat -A POSTROUTING -s 192.168.20.200 -j SNAT --to 192.168.10.20 ---------- ---------- 意図としては、 192.168.10.10へのアクセスがServer1(実IP192.168.20.100)、 192.168.10.20へのアクセスがServer2(実IP192.168.20.200) へと割り振られ、同じく Server1(実IP192.168.20.100)からのアクセスが192.168.10.10、 Server2(実IP192.168.20.200)からのアクセスが192.168.10.20 へと割り振られる、ということなのですが、スクリプトを実行してもeth0側のPCからeth1側のサーバーにアクセスできません。eth1側からeth0側へのアクセスもできません。192.168.20.0内部でのPing送受信やWebサイト閲覧は自由にできますが、eth0側のPCから192.168.10.10と192.168.10.20にPingを送っても、Mannakaサーバーが応答してしまい意図した動きにはなっていません。Server1とServer2のWebサイトも閲覧できません。 環境は、Mannaka, Server1, Server2 がCentOS6、その他のPCはWindows7です。 これがなぜ意図したとおりに動かないのか、そしてどうすれば動くようになるのかをご教示いただけないでしょうか。 よろしくお願いします。
- ベストアンサー
- その他([技術者向] コンピューター)
- iptablesでポートフォアワードがうまくいかない。
お世話になります。下記の通りiptablesでフィルターとNATの定義をしました。 しかし、内部からネットへの接続は可能ですが、外部からWebサーバーにあるHPが見れない指摘を受け、その原因を調べています。 不備な点、ご指導賜りたく存じます。 eth0:1.2.3.4 ---------- | Linux | ----------- eth1:192.168.0.101 | websever:192.168.0.100 cla:192.168.0.102~ modprobe iptable_nat modprobe ip_conntrack_ftp modprobe ip_nat_ftp iptables -F iptables -t nat -F iptables -t mangle -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j ACCEPT iptables -A OUTPUT -o eth1 -d 192.168.0.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -d 1.2.3.4 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -s 1.2.3.4 -j ACCEPT iptables -A INPUT -p tcp --dport 53 -d 1.2.3.4 -j ACCEPT iptables -A OUTPUT -p tcp --dport 53 -s 1.2.3.4 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 -i eth0 --dport 80 -j DNAT --to 192.168.0.100:80 iptables -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4 iptables -t nat -A POSTROUTING -s 192.168.0.102/32 -o eth0 -j MASQUERADE
- 締切済み
- その他(OS)
お礼
お礼のメールが送れまして申し訳ありません。 ご指摘の件、その通りかもしれませが、回答番号:No.2の返信補足欄でご報告しましたネットワークとは別に、NTTの上位ルータにI/Oデータのルータを繋ぎ、其処に3台のPCを繋いでいます。将来このセグメントをなくしファイアーウォールの下にこれ等の3台を置きたいと思っています。私の知識不足で貴兄様の指摘を間違って受け止めていましたらお詫びを申します。 インターネット ↓ (212.331.2.43xx)パブリック・アドレス NTTルータ(192.168.2.0/24) →I/ODataルータ(192.168.0.0/24) ↓ 192.168.2.25 ファイアーウォール(OS Debian) (192.168.10.1) ↓