お知らせ

  • 利用規約を守って投稿してください。また、よくある質問および投稿の手引きも参照してください。
  • メッセージの投稿にはアカウントが必要です。未登録の方は、ユーザ登録ページからアカウントを作成することができます。

ページ: 1

 

#1 2008-07-08 17:16:11

sito
新しいメンバ
登録日: 2008-07-08

Ubuntu 8.04 LTS サーバでのNIC2枚で外部へ接続できない

sitoと申します。色々とネット上を探したのですが解決の糸口が見つからないため、投稿させていただきました。

当方、Ubuntu 8.04 LTS サーバとNIC2枚を使用してVPNルータの構築を試みておりますが、内部ネットワークと外部ネットワークのルーティングで行き詰っております。お知恵を拝借できれば幸いです。

インターネット - (ppp0<eth0>(118.243.A.B))=UBUNTU=eth1(10.12.0.1) - 内部ネットワーク

当方のネットワークアダプタ
ppp0=pppoeでインターネットへ接続。 118.243.A.B(プロバイダからの割り当て)
eth0=pppoe がこの上で動いています。 
eth1=内側 10.12.0.1

また、DHCP3-serverによりDHCPを内部ネットワークのクライアントに配布しています。

以下設定内容
----------/etc/network/interfaces----------
# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet manual
post-up iptables-restore < /etc/iptables.up.rules

auto eth1
iface eth1 inet static
address 10.12.0.1
netmask 255.255.255.0
network 10.12.0.0
broadcast 10.12.0.255

auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf
provider dsl-provider
----------------------------------------------------------

----------- webmin ->Network Configuration->Routing and Gateways->Active ruotes-----
Destination     Gateway     Netmask             Interface
210.247.16.1   None         255.255.255.255   ppp0
10.10.0.0        None         255.255.255.0       tap0
10.12.0.0        None         255.255.255.0        eth1
10.0.0.0          10.10.0.1    255.255.0.0          tap0
169.254.0.0     None           255.255.0.0           eth1
Default Route  None                                  ppp0

*210.247.16.1  CTU の設定サーバ
*tap0はvpnを入れているため
----------------------------------------------------------------------

----------/etc/ip.up.rules------------
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
# Portscans
-A PREROUTING -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --log-prefix "NMAP-XMAS SCAN: " --log-tcp-options --log-ip-options
-A PREROUTING -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
-A PREROUTING -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG  --log-prefix "SRAFU STEALTH SCAN: " --log-tcp-options --log-ip-options
-A PREROUTING -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
-A PREROUTING -p tcp --tcp-flags ALL NONE -j LOG  --log-prefix "NMAP-NULL SCAN: " --log-tcp-options --log-ip-options
-A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP
-A PREROUTING -p tcp --tcp-flags ALL ALL -j LOG  --log-prefix "ALL STEALTH SCAN: " --log-tcp-options --log-ip-options
-A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP
-A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j LOG  --log-prefix "SYN/RST SCAN: " --log-tcp-options --log-ip-options
-A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG  --log-prefix "SYN/FIN SCAN: " --log-tcp-options --log-ip-options
-A PREROUTING -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
COMMIT
*filter
:FORWARD DROP [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp -m state -i ppp0 --state NEW -j LOG ! --syn --log-prefix "in drop - NEW without SYN: "
-A INPUT -p tcp -m state -i ppp0 --state NEW -j DROP  ! --syn
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i tap0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state -i ppp0 --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -j LOG  --log-prefix "input drop: "
-A INPUT -j DROP
-A FORWARD -p tcp -m tcp -m state --state NEW -j LOG  ! --syn --log-prefix "fw drop - NEW without SYN: "
-A FORWARD -p tcp -m state --state NEW -j DROP  ! --syn
-A FORWARD -s 10.12.0.0/24 -i eth1 -o ppp0 -j ACCEPT
-A FORWARD -m state -i ppp0 -o eth1 --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i eth1 -o tap0 -j ACCEPT
-A FORWARD -i tap0 -o eth1 -j ACCEPT
-A FORWARD -j LOG  --log-prefix "forward drop: "
COMMIT
---------------------------------------------

----------/etc/dhcp3/dhcpd.conf----------
ddns-update-style none;

option domain-name "*********";
option domain-name-servers 10.12.0.1;
option routers 10.12.0.1;
option broadcast-address 10.12.0.255;

default-lease-time 600;
max-lease-time 7200;

log-facility local7;

# *****
subnet 10.12.0.0 netmask 255.255.255.0 {
    allow unknown-clients;
    range 10.12.0.100 10.12.0.254;
------------------------------------------------------

この状態で、内部ネットワークから"10.12.0.1"へpingは通り、外側ネットワークから"118.243.A.B"への接続も可能です。ただし、eth1→ppp0→インターネットとつながりません。

足りない部分などありましたら、ご指摘宜しくお願いいたします。

オフライン

 

 

ページ: 1

Board footer

Powered by FluxBB