• ベストアンサー
  • 困ってます

パケット中継機能を有効にする時は?

RedHat Linux9を使用して、DMZ側にサーバを立てました。 パケット中継機能を有効にするために、 echo 1 > /proc/sys/net/ipv4/ip_forwart というのがありますが、 これはDMZ側のサーバで実行する必要がありますか? パケット中継機能を有効にするという意味がちょっと良くわからないのですが。

共感・応援の気持ちを伝えよう!

  • 回答数2
  • 閲覧数120
  • ありがとう数2

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.2

こんにちは。hirasakuです。 ということは、Linux機が2台あって、1台はルーター兼サーバーでもう1台はインターネット向のサーバーということですか。 そうすると、NICが3枚挿さってるLinux機を有効にする必要があって、1枚挿さってるサーバーは有効にする必要はないですね。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

なるほどですね。 よく分かりました。ありがとうございました。

その他の回答 (1)

  • 回答No.1

こんにちは、hirasakuです。 そのサーバーがルーターとしての役割をもたせるなら有効にする必要がありますが、 単なるサーバーでしたら有効にする必要はありません。 DMZ側にとありますので、サーバー以外にルーターもしくはファイヤーウォールがあるのですよね? それと、そのサーバーはNICが複数あるのですか?

共感・感謝の気持ちを伝えよう!

質問者からの補足

DMZが接続しているサーバは、ルータ兼サーバーです。 NICは3枚ついています。 DMZのサーバはNICが1枚でWEBサーバ、メールサーバを使用しています。

関連するQ&A

  • linuxをルーターとして使用。

    前にDNSの事で質問したものです。 CATVで、cクラス未満のIPを割り当ててもらって、4台のPC(3台win 1台linux)ネット接続しています。 で、linuxの一台をルーター兼用で使ってたのですが、 他の3台が外部にでれなくなってしまいました。  linuxのものは、外部に出れるのです。  他の3台もこのルーター(linuxのもの)までは、pingが届くので、素人考えでip_forwardができなくなったと思って、 /proc/sys/net/ipv4/ip_forward を見たのですが、そのファイルの中身は1と入ってるだけだったのですが、ここが問題なのでしょうか? それとも、まったく筋違いなのでしょうか?

  • /proc/sys/net/ipv4/route/flushは無効な引数?

    /proc/sys/net/ipv4/route/flush というファイルをcatの引数に指定すると 「無効な引数です」と言われます。 普通、読めないファイルの場合は 「許可がありません」というメッセージなのに、 このファイルだけは「無効な引数です」と言われるのです。 エラーメッセージが異なるということは別のエラーということだと思うのですが、 「無効な引数です」というメッセージはどのような場合に表示されるものなのですか。 たとえばwcの引数に指定した場合、次のようにエラーメッセージと通常の結果の両方を表示します。 $ wc /proc/sys/net/ipv4/route/flush wc: /proc/sys/net/ipv4/route/flush: 無効な引数です 0 0 0 /proc/sys/net/ipv4/route/flush ですのでエラーメッセージをリダイレクトしてしまえば、何の問題もないように思えるのですが・・・ これでいいのかなぁ。

  • RedHat Linux8.0 IPルータとPPPoEでの中継性能

    RedHat Linux8.0をIPルータとPPPoEサーバにし、 中継性能(スループット)がどれぐらい出るのか計測したいのですが、計測された方でどれぐらい出るものなのか情報がある方居られるでしょうか? IPルータ、FTPで1MBのファイルをプットした場合は730kbyte/secぐらいでたのですが、こんなものなのでしょうか? もっと中継性能を上げたい場合、Linuxのどの辺をいじるとよろしいでしょうか? 以上よろしくお願い致します。

  • linxuでパケット解析がしたい

    こんばんは、皆さん。 私は現在、Fedora Core 4を使用しております。 WEBを見よう見真似でパケットキャプチャをしようしていますが、 snoopコマンドを打ってみたところ、comman not foundになりました。 しかたないのでコマンドをインストールしようと、 以下のサイトからsnoop v0.1.tar.gzをダウンロードしてきました。 http://www.cir.nus.edu.sg/research/software/snoop/linux-snoop-how-to.html これを上記の英文サイトを参照してインストールしようとしています。 3.1でModifying the kernelとあるので、カーネルをどうにかしないといけないようです。 netsyms.cとip_forward.cを編集するようなことが書いてあるので、 さっそく/usr/src/linux/net/ipv4/ip_forward.cを見てみようと思ったら、 ファイルがありませんでした。 もう一つのnetsyms.cもありませんでした。 現状はここで行き詰っています。 何とかしてsnoopをインストールしたいので、方法を教えていただけませんか? tcpdumpやetherealがあるのは知っていますが、後で使うので今回はsnoopをlinuxで使えるようにしたいという質問です。

  • iptablesの記述方法

    RedHatLinux9 でサーバ兼ルータ兼ファイアウォールを構築しています。(DMZを1台使用) iptables の記述が、なかなか分かりやすく解説しているものがなくて困っています。 特に -N の記述方法がよく分かりません。 DMZ側のファイアウォールとして、 # NetBIOS関連のパケットはログをとり、インターネットに出さない と設定する場合、下記のようでよいのでしょうか? iptables -N net-bios iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###" iptables -A net-bios -j DROP iptables -A FORWARD -p tcp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p tcp -m multiport --dport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --dport 135,137,138,139,445 -j net-bios

  • Linuxサーバに社内からSSH接続をすると、決まった会社のIPがとれます。大丈夫でしょうか?

    RedHat9 Linux でサーバ兼ルータを構築しています。(DMZも使用しています) (WAN側 ppp0 、DMZ側 eth1、LAN側 eth2) iptables の設定として、 # NetBIOS関連のパケットはログをとり、インターネットに出さない iptables -N net-bios iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###" iptables -A net-bios -j DROP iptables -A FORWARD -p tcp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p tcp -m multiport --dport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --dport 135,137,138,139,445 -j net-bios としていました。(今はログが多くなるということでやめようと思っています) 社内PCからサーバにSSHでログインすると、必ず、下記のようなログが出ます。 (私のPCはIP 192.168.*.* ) May 26 15:00:00 ns kernel: ### NetBIOS ###IN=eth2 OUT=ppp0 SRC=192.168.*.* DST=aaa.bbb.cc.dd LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=**** DF PROTO=TCP SPT=1335 DPT=139 WINDOW=**** RES=0x00 SYN URGP=0 DST=aaa.bbb.cc.dd というIPは、知らない会社のIPです。 これはなにか悪さをされているということでしょうか?

  • ファイアーウォール(iptables)の構築を上手にするには・・・?

    RedHatLinux7.3でファイアーウォールなどを設定すべく勉強しているのですが、ここにきてiptableの設定、いえ、むしろパケットフィルターの所、良いパケットの通し方について調べていて、どうしたらいいか困ってしまいました。 必要最低限のパケットを通すべきとはありますが、自分のlinuxで設定したIPを設定するほかに必要なものは何があるでしょうか? ポート番号設定されているかたもいるのですがそのポートについてどういう意味が一体どういうものなのかわかりません。 壁の穴の開け方でも、偽装して進入することもできたりすると書いてあるところがあったので困っています。 やはりこういう知識は・・・専門書を買うべきでしょうか? 内心迷っています・・・。 Linux&ネットワーク系について初心者故に不的確な表現がありましたらすみません。

  • DMZのwebサーバがLANから閲覧できない

    DMZにサーバをのせようとしていますが、 うまくいきません。 どなたかアドバイスをお願いいたします。 [現象] DMZにwebサーバをのせました。 外部からはテストページの表示ができるのですが、 社内LANからテストページの表示ができません。 [環境] サーバOS :centos5.2 /etc/sysconfig/network-scripting/ifcfg-eth0 には、 gatewayの設定はしていますせん。 (ネットワーク管理者に不要だといわれたため) サーバは、 ファイアウォール・VPN・リモートアクセスなど ゲートウェイ機能搭載の中小規模オフィス向けネットワークサーバーを経由して、 外部、LANそれぞれと通信します。 [確認した事項] 下記の内容を、サーバのファイアウォールをはずして検証してみました。 ネットワークサーバのログは見られません。 (1)外部からアクセスしたとき ・pingは通る ・webテストページの表示ができる ・ネットワークサーバーのログは正常に通信していると残っている。 (ヘルプデスクに確認) (2)社内LANからアクセスしたとき ・pingが通らない ・webテストページの表示ができない ・ネットワークサーバーのログによると、DMZのサーバへ要求は投げているが、 DMZのサーバからの戻りはない。 (ヘルプデスクに確認) サーバのログは以下のとおりです。 ・正常なやりとりのログ [root@iserver ~]# tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 21:31:46.754868 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 57592, seq 0, length 64 21:32:26.871001 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 57592, seq 0, length 64 21:31:46.870377 IP (問題のサーバのドメイン名).44291 > (LAN内のDNSのIP).domain: 41736+ PTR? (問題のサーバのIPを逆から表示したもの).in-addr.arpa. (45) 21:31:47.765841 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 48562, seq 1, length 64 21:31:47.765858 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 48562, seq 1, length 64 21:31:48.775690 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 52530, seq 2, length 64 21:31:48.775707 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 52530, seq 2, length 64 21:31:49.786146 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 15423, seq 3, length 64 21:31:49.786161 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 15423, seq 3, length 64 21:31:50.796110 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 15768, seq 4, length 64 21:31:50.796124 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 15768, seq 4, length 64 ・LANからの異常なやりとりのログ 21:35:04.456219 arp who-has (問題のサーバのIP) tell (社内のIPと思われるもの-2) 21:35:04.456241 arp reply (問題のサーバのIP) is-at (MACアドレス2)(oui Unknown) 21:35:04.456374 IP (問題のサーバのドメイン名).48609 > (LAN内のDNSのIP).domain: 42979+ PTR? (社内のIPと思われるもの-2を逆から表示したもの).in-addr.arpa. (45) 21:35:04.456493 IP (PINGを実行したLAN内マシンのIP) > (問題のサーバのIP): ICMP echo request, id 512, seq 513, length 40 21:35:04.456787 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:05.456851 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:06.456914 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:09.453100 arp who-has (LAN内のDNSのIP) tell (問題のサーバのドメイン名) 21:35:09.453151 IP (問題のサーバのドメイン名).45524 > (DNSのIP).domain: 42979+ PTR? (社内のIPと思われるもの-2を逆から表示したもの).in-addr.arpa. (45) 21:35:09.453401 arp reply (LAN内のDNSのIP) is-at (MACアドレス) (oui Unknown) 21:35:09.961830 IP (PINGを実行したLAN内マシンのIP) > (問題のサーバのIP): ICMP echo request, id 512, seq 769, length 40 21:35:09.965131 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:10.965194 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:11.965256 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)

  • Linuxで"\"を入力したい。(メールサーバーに、メール転送機能を持たせる)

    RedHatLinux9のメールサーバーに、メール転送機能を持たせる場合は、/home/ユーザディレクトリに、.forward を作成するようです。 転送するメールをサーバにも残す場合は、下記アドレスサイトに書かれていたように、 echo "\****,****@goo.com" > .forward とやるそうすが、\ が入力できません。 どうすれば良いでしょうか? http://www.mediaweb.biz/database/cobalt_tips/forward.html

  • Redhat7.3でDMZ構築

    Redhat7.3を使用して、以下のようにNIC3枚でDMZを構築しようとしています。 WAN  | Linux -WWW(DMZ)  | LAN 仮に以下のようにIPを設定します。 ・WAN側ネットワーク 172.31.0.0/24 ・eth0(LAN) 192.168.1.1 ・eth1(WAN) 172.31.1.10 ・eth2(DMZ) 172.31.1.11 ・WWW(DMZ内に設置) 172.31.1.12 このとき、以下のような状態になってしまいます。 ・WAN側からWWWにアクセスできない。(pingが通らない) ・WAN側からeth1,eth2へはpingが通る。 ・LinuxからWWWへはpingが通る。 WAN側からWWWにアクセスできるようにするには、どのような設定をすべきでしょうか? 上記の構成以外にも、DMZ側とWAN側が同一セグメントになるような設定があれば、そちらも検討したいので、ご教授願います。