- PR -

iptablesで・・・

1
投稿者投稿内容
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2005-08-11 15:18
 下記構成で
192.168.0.202のコンソールから
#telnet 201.*.*.53 25
を成功させるには、下記のiptablesの設定に何を追加すればよろしいでしょうか。。
何卒ご教授願います。

※外部からの
#telnet 201.*.*.53 25
は成功しております。

[構成]========================================

[ルータ]
 |
 | eth0  201.*.*.51
 | eth0:1 201.*.*.52
 | eth0:2 201.*.*.53
[GW&FW] iptables
 | eth1  192.168.0.1
 |
 +---[MX]  メールサーバー1 192.168.0.202
 +---[MXTR] メールサーバー2 192.168.0.203
 |

==============================================

[iptablesルール]==========================================

#!/bin/sh
ETH_WAN='eth0' # External interface
ETH_LAN='eth1' # Internal interface
FW_OUT='201.*.*.51' # IP address of external interface
FW_IN='192.168.0.1' # IP address of internal interface
V_MX='201.*.*.52' # MXサーバの仮想IPアドレス
V_MXTR='201.*.*.53' # MXTRサーバの仮想IPアドレス
R_MX='192.168.0.202' # MXサーバの実IPアドレス
R_MXTR='192.168.0.203' # MXTRサーバの実IPアドレス
LOCALNET='192.168.0.0/24' # Local area network
ANY='0.0.0.0/0' # すべてのIPアドレス
#
#
# Flush chains
/sbin/iptables -F
#
#
# すべてのパケットを拒否
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP
#
#
# ループバックアドレスに関してはすべて許可
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#
#
# ローカルネットワークからファイアウォールに対して22/TCP(ssh)を許可
/sbin/iptables -A INPUT -p TCP -s $LOCALNET --dport 22 -d $FW_IN -i $ETH_LAN -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP ! --syn --sport 22 -s $FW_IN -d $LOCALNET -o $ETH_LAN -j ACCEPT
#
#
# メールサーバに対して25/TCP(smtp)でのアクセスを許可
/sbin/iptables -A FORWARD -p TCP -s $ANY --dport 25 -d $R_MX -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 25 -s $R_MX -d $ANY -j ACCEPT
#
#
# メールサーバから外部への25/TCP(smtp)を許可
/sbin/iptables -A FORWARD -p TCP -s $R_MX --dport 25 -d $ANY -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 25 -s $ANY -d $R_MX -j ACCEPT
#
#
# TRメールサーバに対して25/TCP(smtp)でのアクセスを許可
/sbin/iptables -A FORWARD -p TCP -s $ANY --dport 25 -d $R_MXTR -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 25 -s $R_MXTR -d $ANY -j ACCEPT
#
#
# TRメールサーバから外部への25/TCP(smtp)を許可
/sbin/iptables -A FORWARD -p TCP -s $R_MXTR --dport 25 -d $ANY -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 25 -s $ANY -d $R_MXTR -j ACCEPT
#
# Flush Nat Rules
#
/sbin/iptables -t nat -F
#
# Nat Rules
#
#
# 外部のホストがDMZセグメントへ入るためのNATの定義
/sbin/iptables -t nat -A PREROUTING -d $V_MX -i $ETH_WAN -j DNAT --to $R_MX
/sbin/iptables -t nat -A PREROUTING -d $V_MXTR -i $ETH_WAN -j DNAT --to $R_MXTR
#
#
# DMZ上のホストが外部へ出ていくときのためのNATの定義
/sbin/iptables -t nat -A POSTROUTING -s $R_MX -o $ETH_WAN -p TCP -j SNAT --to $V_MX
/sbin/iptables -t nat -A POSTROUTING -s $R_MXTR -o $ETH_WAN -p TCP -j SNAT --to $V_MXTR
#
# for log
# うまくサービスが動作しない時には、下のコメントを外し、
# /var/log/messages を見る
#
#/sbin/iptables -A FORWARD -i eth0 -j LOG
#
#
# Save difinision
/sbin/iptables-save > /etc/sysconfig/iptables
#
#
# End Of Rules
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2005-08-11 17:52
こんにちは。
それって、NAT環境における1台のDNSサーバでのゾーン機能とキャッシュ機能の運用の話と同じだったりしませんか?
waio さんの対応や、私の補足1 に注意してみてください。

最近の、「ルータ内部のネットワークからルータの持つグローバルアドレスへの接続ができない」系の話に問題が似ているもので。
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2005-08-19 15:28
お世話になります!個人的にバタバタしておりまして返信が遅れてしまいました。。ありがとうございます。早速試してみたいと思います!
1

スキルアップ/キャリアアップ(JOB@IT)