router をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
2つのネットワークセグメントを中継します。
下図中の「&color(magenta){内部ルータ};」に位置して、2枚...
&ref(2014y08m09d_013111303.png,nolink,noborder);
研究室にLAN回線は来ているが、ここから研究室内部に独自のネ...
それはセキュリティー対策だったり、クラスターサーバ向けと...
それを実現させるためには、上図のような「&color(magenta){...
専用HWではなく、中古のPCでも「&color(magenta){内部ルータ}...
-floppyfw
-CentOS6
ここではこれらについて記述する。
&color(red){*};&size(10){情報部局から許可されないケースも...
&color(red){*};&size(10){windowsXPでも試したが、、、IPEna...
[[router/windows]]
[[router/Bridge]]
[[router/CentOS7]]
[[router/pfsense]]
[[router/NFS]]
[[RTX830]]
&size(10){[[router/SquidClamAV]]};
***floppyfw [#g049c88f]
本家様 http://www.zelow.no/floppyfw/index.html (ffw4とし...
1枚のfloppyディスクで、ルータになれて、同時にファイアー...
最新版の イメージファイル(floppyfw-3.0.15.img) を取得して...
&color(red){*};&size(10){今時floppyドライブは高級品ですか...
&color(red){*};&size(10){VMware ESXi内部のルーターとして...
イメージファイルの中身をUSBメモリーに移すには[[FreeNAS/US...
Win32 Disk Imagerを起動して、移す対象のUSBメモリーを対象...
&ref(2014y08m10d_075521104.png,nolink);
[Write]ボタンをクリックするとコピーが始まります。
完了後、8GBのUSBメモリーが、1.38MBのサイズに縮小されてし...
&ref(2014y08m10d_080110788.png,nolink);
加えて、USBメモリーは&color(darkgreen){''FATファイルシス...
windowsアプリケーションで編集可能です。
&ref(2014y08m10d_080949975.png,nolink);
■設定方針
+ルータは静的ルーティングで、NAT機能は提供しない
+サービスLAN側のNICには、192.168.0.22、隔離LAN側のNICは、...
■設定
&color(orangered){CONFIG}; ファイルをテキストエディッタで...
#code(nonumber){{
CONNECT_TYPE=STATIC
OUTSIDE_DEV=eth0 *サービスLAN側は 1...
INSIDE_DEV=eth1 *隔離LAN側は 1...
INSIDE_IP=10.0.0.1 *サービスLAN側に晒...
INSIDE_NETMASK=255.255.255.0
OUTSIDE_IP=192.168.0.22 *隔離LAN側に晒すNI...
OUTSIDE_NETMASK=255.255.255.0
DEFAULT_GATEWAY=192.168.0.1 *サービスLAN側に存...
OUTSIDE_NAMESERVERS="192.168.0.3" *サービスLAN側に存...
HOSTNAME=router
DOMAIN=chaperone.jp
TIMEZONE=JST-9
}}
次に&color(mediumvioletred){firewall.ini}; ファイルをテキ...
#code(nonumber){{
echo 1 > /proc/sys/net/ipv4/ip_forward *6行目を有効に
edit 0 *7行目を有効に
}}
■起動
完成したUSBメモリーをPCに差し込んで起動すればルータになり...
もしINSIDEとOUTSIDEが逆になるなら *_DEV の eth0とeth1を付...
ルータへのログインはユーザrootで、パスワードなしで入れま...
&color(magenta){内部ルータ};のルーティングテーブルは下記...
#code(nonumber){{
# route
Kernel IP routing table
Destination Gateway Genmask Flags Met...
10.0.0.0 * 255.255.255.0 U 0 ...
192.168.0.0 * 255.255.255.0 U 0 ...
default 192.168.0.1 0.0.0.0 UG 1 ...
#
}}
■テスト
隔離LANからサービスLANおよびインターネットにping/sshを行...
隔離マシンのルーティングテーブルは下記になります。
#code(nonumber){{
[root@isolate ]# netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags M...
10.0.0.0 * 255.255.255.0 U ...
default 10.0.0.1 0.0.0.0 UG ...
[root@isolate ]#
}}
&color(red){*};&size(10){/etc/sysconfig/networkに&color(o...
サービスLAN側から隔離LANには直接には繋がりません。routeで...
#code(nonumber){{
[root@c130 ~]# route add -net 10.0.0.0/24 gw 192.168.0.22
[root@c130 ~]# netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags M...
10.0.0.0 router.chaperon 255.255.255.0 UG ...
192.168.0.0 * 255.255.255.0 U ...
default gw.chaperone.jp 0.0.0.0 UG ...
[root@c130 ~]#
[root@c130 ~]# ping -c1 10.0.0.2
PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.
64 bytes from 10.0.0.2: icmp_seq=1 ttl=63 time=0.904 ms
--- 10.0.0.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.904/0.904/0.904/0.000 ms
[root@c130 ~]#
}}
***CentOS6 [#l03460b4]
通常のLinuxにNICを二枚のせて、ルータにしてしまう場合。
&color(red){*};&size(10){隔離LAN側がクラスターマシンで構...
二枚のNICは、片方がサービスLAN側の eth0(192.168.0.22/24)...
OSインストール時にeth0は定めたので、eth1のみを追加で定義...
eth1を定義します。方法は2通り提示する。どちらでも構わな...
-設定ファイルを直接修正して定義するなら
#code(nonumber){{
[root@router ~]# ifconfig -a | grep eth1
eth1 Link encap:Ethernet HWaddr 00:0C:29:1B:3F:8C
[root@router ~]#
[root@router ~]# vi /etc/sysconfig/network-scripts/ifcfg-...
DEVICE=eth1
HWADDR=00:0C:29:1B:3F:8C *この値は「ifconfig -a | gr...
TYPE=Ethernet
ONBOOT=yes
IPADDR=10.0.0.1
NETMASK=255.255.255.0
[root@router ~]# /etc/init.d/network restart *もしくは...
[root@router ~]# ifconfig eth1
eth1 Link encap:Ethernet HWaddr 00:0C:29:1B:3F:8C
inet addr:10.0.0.1 Bcast:10.0.0.255 Mask:255....
inet6 addr: fe80::20c:29ff:fe1b:3f8c/64 Scope:L...
UP BROADCAST RUNNING MULTICAST MTU:1500 Metri...
RX packets:2 errors:0 dropped:0 overruns:0 fram...
TX packets:8 errors:0 dropped:0 overruns:0 carr...
collisions:0 txqueuelen:1000
RX bytes:120 (120.0 b) TX bytes:552 (552.0 b)
[root@router ~]#
}}
-ツールを使って定義するなら「system-config-network-tui」...
#code(nonumber){{
[root@router ~]# ifconfig eth1 down
[root@router ~]# rm /etc/sysconfig/network-scripts/ifcfg-...
[root@router ~]# yum -y install system-config-network-tui
[root@router ~]# system-config-network-tui
}}
1.system-config-network-tuiを起動して、「デバイス設定」...
2.「<新規のデバイス>」を選ぶ
3.「イーサネット」を選ぶ
4.名前「eth1」、デバイス「eth1」、静的IP「10.0.0.1」、...
5.「保存」を選ぶ
6.「保存して終了」を選ぶ。そして
#code(nonumber){{
[root@router ~]#
[root@router ~]# /etc/init.d/network restart
[root@router ~]# ifconfig eth1
eth1 Link encap:Ethernet HWaddr 00:0C:29:1B:3F:8C
inet addr:10.0.0.1 Bcast:10.0.0.255 Mask:255....
inet6 addr: fe80::20c:29ff:fe1b:3f8c/64 Scope:L...
UP BROADCAST RUNNING MULTICAST MTU:1500 Metri...
RX packets:2 errors:0 dropped:0 overruns:0 fram...
TX packets:10 errors:0 dropped:0 overruns:0 car...
collisions:0 txqueuelen:1000
RX bytes:120 (120.0 b) TX bytes:636 (636.0 b)
[root@router ~]#
}}
eth1のIPアドレス定義後、この段階で隔離マシン(IP:10.0.0.2/...
|BGCOLOR(YELLOW):from|BGCOLOR(YELLOW):to|BGCOLOR(YELLOW):...
|10.0.0.2|192.168.0.3&br;c.chaperone.jp|ping 192.168.0.3&...
|~|10.0.0.1|ping 10.0.0.1|OK&br;routerのeth1|
|~|192.168.0.22|ping 192.168.0.22|OK&br;routerのeth2|
|~|router.chaperone.jp|ping router.chaperone.jp|接続不可|
IPフォワードを有効にしただけでは
#code(nonumber){{
[root@router ~]# cat /proc/sys/net/ipv4/ip_forward
0
[root@router ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
[root@router ~]#
}}
|BGCOLOR(YELLOW):from|BGCOLOR(YELLOW):to|BGCOLOR(YELLOW):...
|10.0.0.2|192.168.0.3&br;c.chaperone.jp|ping 192.168.0.3&...
|~|10.0.0.1|ping 10.0.0.1|OK|
|~|192.168.0.22|ping 192.168.0.22|OK|
|~|router.chaperone.jp|ping router.chaperone.jp|接続不可|
っと無理で、理由はパケットを受け取った&color(magenta){''t...
&ref(2014y12m08d_232257141.png,nolink,noborder);
&color(red){route};コマンドを使って、&color(orangered){''...
#code(nonumber){{
[root@c ~]# route add -net 10.0.0.0/24 gw 192.168.0.22 eth0
[root@c ~]# route
Kernel IP routing table
Destination Gateway Genmask Flags Met...
10.0.0.0 router.chaperon 255.255.255.0 UG 0 ...
192.168.0.0 * 255.255.255.0 U 0 ...
link-local * 255.255.0.0 U 100...
default gw.chaperone.jp 0.0.0.0 UG 0 ...
[root@c ~]#
}}
これで10.0.0.2から192.168.0.3へping/ssh接続が通る事になる。
&color(red){*};&size(10){192.168.0.3側からは10.0.0.2から...
だけど、サービスLAN側の全てのホストにデフォルトゲートウエ...
それを回避するために、中継となるルータにiptableのNAT機能...
っでその設定は、
#code(nonumber){{
[root@router ~]# /etc/init.d/iptables start
[root@router ~]# /sbin/iptables -F
[root@router ~]#
[root@router ~]# /etc/init.d/iptables status
テーブル: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
[root@router ~]#
[root@router ~]# iptables -t nat -A POSTROUTING -o eth0 -...
[root@router ~]#
[root@router ~]# /etc/init.d/iptables status
テーブル: nat
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination
1 MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
テーブル: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
[root@router ~]#
[root@router ~]# /sbin/iptables-save > /etc/sysconfig/ipt...
[root@router ~]# chkconfig iptables on
}}
とする。これで
|BGCOLOR(YELLOW):from|BGCOLOR(YELLOW):to|BGCOLOR(YELLOW):...
|10.0.0.2|192.168.0.3&br;c.chaperone.jp|ping 192.168.0.3&...
|~|10.0.0.1|ping 10.0.0.1|OK|
|~|192.168.0.22|ping 192.168.0.22|OK|
|~|router.chaperone.jp|ping router.chaperone.jp|OK|
と「隔離LAN -> サービスLAN」はOK。
一方、逆側へのアクセス「サービスLAN -> 隔離LAN」の場合だ...
終了行:
2つのネットワークセグメントを中継します。
下図中の「&color(magenta){内部ルータ};」に位置して、2枚...
&ref(2014y08m09d_013111303.png,nolink,noborder);
研究室にLAN回線は来ているが、ここから研究室内部に独自のネ...
それはセキュリティー対策だったり、クラスターサーバ向けと...
それを実現させるためには、上図のような「&color(magenta){...
専用HWではなく、中古のPCでも「&color(magenta){内部ルータ}...
-floppyfw
-CentOS6
ここではこれらについて記述する。
&color(red){*};&size(10){情報部局から許可されないケースも...
&color(red){*};&size(10){windowsXPでも試したが、、、IPEna...
[[router/windows]]
[[router/Bridge]]
[[router/CentOS7]]
[[router/pfsense]]
[[router/NFS]]
[[RTX830]]
&size(10){[[router/SquidClamAV]]};
***floppyfw [#g049c88f]
本家様 http://www.zelow.no/floppyfw/index.html (ffw4とし...
1枚のfloppyディスクで、ルータになれて、同時にファイアー...
最新版の イメージファイル(floppyfw-3.0.15.img) を取得して...
&color(red){*};&size(10){今時floppyドライブは高級品ですか...
&color(red){*};&size(10){VMware ESXi内部のルーターとして...
イメージファイルの中身をUSBメモリーに移すには[[FreeNAS/US...
Win32 Disk Imagerを起動して、移す対象のUSBメモリーを対象...
&ref(2014y08m10d_075521104.png,nolink);
[Write]ボタンをクリックするとコピーが始まります。
完了後、8GBのUSBメモリーが、1.38MBのサイズに縮小されてし...
&ref(2014y08m10d_080110788.png,nolink);
加えて、USBメモリーは&color(darkgreen){''FATファイルシス...
windowsアプリケーションで編集可能です。
&ref(2014y08m10d_080949975.png,nolink);
■設定方針
+ルータは静的ルーティングで、NAT機能は提供しない
+サービスLAN側のNICには、192.168.0.22、隔離LAN側のNICは、...
■設定
&color(orangered){CONFIG}; ファイルをテキストエディッタで...
#code(nonumber){{
CONNECT_TYPE=STATIC
OUTSIDE_DEV=eth0 *サービスLAN側は 1...
INSIDE_DEV=eth1 *隔離LAN側は 1...
INSIDE_IP=10.0.0.1 *サービスLAN側に晒...
INSIDE_NETMASK=255.255.255.0
OUTSIDE_IP=192.168.0.22 *隔離LAN側に晒すNI...
OUTSIDE_NETMASK=255.255.255.0
DEFAULT_GATEWAY=192.168.0.1 *サービスLAN側に存...
OUTSIDE_NAMESERVERS="192.168.0.3" *サービスLAN側に存...
HOSTNAME=router
DOMAIN=chaperone.jp
TIMEZONE=JST-9
}}
次に&color(mediumvioletred){firewall.ini}; ファイルをテキ...
#code(nonumber){{
echo 1 > /proc/sys/net/ipv4/ip_forward *6行目を有効に
edit 0 *7行目を有効に
}}
■起動
完成したUSBメモリーをPCに差し込んで起動すればルータになり...
もしINSIDEとOUTSIDEが逆になるなら *_DEV の eth0とeth1を付...
ルータへのログインはユーザrootで、パスワードなしで入れま...
&color(magenta){内部ルータ};のルーティングテーブルは下記...
#code(nonumber){{
# route
Kernel IP routing table
Destination Gateway Genmask Flags Met...
10.0.0.0 * 255.255.255.0 U 0 ...
192.168.0.0 * 255.255.255.0 U 0 ...
default 192.168.0.1 0.0.0.0 UG 1 ...
#
}}
■テスト
隔離LANからサービスLANおよびインターネットにping/sshを行...
隔離マシンのルーティングテーブルは下記になります。
#code(nonumber){{
[root@isolate ]# netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags M...
10.0.0.0 * 255.255.255.0 U ...
default 10.0.0.1 0.0.0.0 UG ...
[root@isolate ]#
}}
&color(red){*};&size(10){/etc/sysconfig/networkに&color(o...
サービスLAN側から隔離LANには直接には繋がりません。routeで...
#code(nonumber){{
[root@c130 ~]# route add -net 10.0.0.0/24 gw 192.168.0.22
[root@c130 ~]# netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags M...
10.0.0.0 router.chaperon 255.255.255.0 UG ...
192.168.0.0 * 255.255.255.0 U ...
default gw.chaperone.jp 0.0.0.0 UG ...
[root@c130 ~]#
[root@c130 ~]# ping -c1 10.0.0.2
PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.
64 bytes from 10.0.0.2: icmp_seq=1 ttl=63 time=0.904 ms
--- 10.0.0.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.904/0.904/0.904/0.000 ms
[root@c130 ~]#
}}
***CentOS6 [#l03460b4]
通常のLinuxにNICを二枚のせて、ルータにしてしまう場合。
&color(red){*};&size(10){隔離LAN側がクラスターマシンで構...
二枚のNICは、片方がサービスLAN側の eth0(192.168.0.22/24)...
OSインストール時にeth0は定めたので、eth1のみを追加で定義...
eth1を定義します。方法は2通り提示する。どちらでも構わな...
-設定ファイルを直接修正して定義するなら
#code(nonumber){{
[root@router ~]# ifconfig -a | grep eth1
eth1 Link encap:Ethernet HWaddr 00:0C:29:1B:3F:8C
[root@router ~]#
[root@router ~]# vi /etc/sysconfig/network-scripts/ifcfg-...
DEVICE=eth1
HWADDR=00:0C:29:1B:3F:8C *この値は「ifconfig -a | gr...
TYPE=Ethernet
ONBOOT=yes
IPADDR=10.0.0.1
NETMASK=255.255.255.0
[root@router ~]# /etc/init.d/network restart *もしくは...
[root@router ~]# ifconfig eth1
eth1 Link encap:Ethernet HWaddr 00:0C:29:1B:3F:8C
inet addr:10.0.0.1 Bcast:10.0.0.255 Mask:255....
inet6 addr: fe80::20c:29ff:fe1b:3f8c/64 Scope:L...
UP BROADCAST RUNNING MULTICAST MTU:1500 Metri...
RX packets:2 errors:0 dropped:0 overruns:0 fram...
TX packets:8 errors:0 dropped:0 overruns:0 carr...
collisions:0 txqueuelen:1000
RX bytes:120 (120.0 b) TX bytes:552 (552.0 b)
[root@router ~]#
}}
-ツールを使って定義するなら「system-config-network-tui」...
#code(nonumber){{
[root@router ~]# ifconfig eth1 down
[root@router ~]# rm /etc/sysconfig/network-scripts/ifcfg-...
[root@router ~]# yum -y install system-config-network-tui
[root@router ~]# system-config-network-tui
}}
1.system-config-network-tuiを起動して、「デバイス設定」...
2.「<新規のデバイス>」を選ぶ
3.「イーサネット」を選ぶ
4.名前「eth1」、デバイス「eth1」、静的IP「10.0.0.1」、...
5.「保存」を選ぶ
6.「保存して終了」を選ぶ。そして
#code(nonumber){{
[root@router ~]#
[root@router ~]# /etc/init.d/network restart
[root@router ~]# ifconfig eth1
eth1 Link encap:Ethernet HWaddr 00:0C:29:1B:3F:8C
inet addr:10.0.0.1 Bcast:10.0.0.255 Mask:255....
inet6 addr: fe80::20c:29ff:fe1b:3f8c/64 Scope:L...
UP BROADCAST RUNNING MULTICAST MTU:1500 Metri...
RX packets:2 errors:0 dropped:0 overruns:0 fram...
TX packets:10 errors:0 dropped:0 overruns:0 car...
collisions:0 txqueuelen:1000
RX bytes:120 (120.0 b) TX bytes:636 (636.0 b)
[root@router ~]#
}}
eth1のIPアドレス定義後、この段階で隔離マシン(IP:10.0.0.2/...
|BGCOLOR(YELLOW):from|BGCOLOR(YELLOW):to|BGCOLOR(YELLOW):...
|10.0.0.2|192.168.0.3&br;c.chaperone.jp|ping 192.168.0.3&...
|~|10.0.0.1|ping 10.0.0.1|OK&br;routerのeth1|
|~|192.168.0.22|ping 192.168.0.22|OK&br;routerのeth2|
|~|router.chaperone.jp|ping router.chaperone.jp|接続不可|
IPフォワードを有効にしただけでは
#code(nonumber){{
[root@router ~]# cat /proc/sys/net/ipv4/ip_forward
0
[root@router ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
[root@router ~]#
}}
|BGCOLOR(YELLOW):from|BGCOLOR(YELLOW):to|BGCOLOR(YELLOW):...
|10.0.0.2|192.168.0.3&br;c.chaperone.jp|ping 192.168.0.3&...
|~|10.0.0.1|ping 10.0.0.1|OK|
|~|192.168.0.22|ping 192.168.0.22|OK|
|~|router.chaperone.jp|ping router.chaperone.jp|接続不可|
っと無理で、理由はパケットを受け取った&color(magenta){''t...
&ref(2014y12m08d_232257141.png,nolink,noborder);
&color(red){route};コマンドを使って、&color(orangered){''...
#code(nonumber){{
[root@c ~]# route add -net 10.0.0.0/24 gw 192.168.0.22 eth0
[root@c ~]# route
Kernel IP routing table
Destination Gateway Genmask Flags Met...
10.0.0.0 router.chaperon 255.255.255.0 UG 0 ...
192.168.0.0 * 255.255.255.0 U 0 ...
link-local * 255.255.0.0 U 100...
default gw.chaperone.jp 0.0.0.0 UG 0 ...
[root@c ~]#
}}
これで10.0.0.2から192.168.0.3へping/ssh接続が通る事になる。
&color(red){*};&size(10){192.168.0.3側からは10.0.0.2から...
だけど、サービスLAN側の全てのホストにデフォルトゲートウエ...
それを回避するために、中継となるルータにiptableのNAT機能...
っでその設定は、
#code(nonumber){{
[root@router ~]# /etc/init.d/iptables start
[root@router ~]# /sbin/iptables -F
[root@router ~]#
[root@router ~]# /etc/init.d/iptables status
テーブル: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
[root@router ~]#
[root@router ~]# iptables -t nat -A POSTROUTING -o eth0 -...
[root@router ~]#
[root@router ~]# /etc/init.d/iptables status
テーブル: nat
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination
1 MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
テーブル: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
[root@router ~]#
[root@router ~]# /sbin/iptables-save > /etc/sysconfig/ipt...
[root@router ~]# chkconfig iptables on
}}
とする。これで
|BGCOLOR(YELLOW):from|BGCOLOR(YELLOW):to|BGCOLOR(YELLOW):...
|10.0.0.2|192.168.0.3&br;c.chaperone.jp|ping 192.168.0.3&...
|~|10.0.0.1|ping 10.0.0.1|OK|
|~|192.168.0.22|ping 192.168.0.22|OK|
|~|router.chaperone.jp|ping router.chaperone.jp|OK|
と「隔離LAN -> サービスLAN」はOK。
一方、逆側へのアクセス「サービスLAN -> 隔離LAN」の場合だ...
ページ名:
1
![[PukiWiki]](image/picc.png "[PukiWiki]")
