- PR -

外部から公開サーバにアクセスできません。

1
投稿者投稿内容
なつ
会議室デビュー日: 2003/09/07
投稿数: 3
投稿日時: 2003-09-07 03:18
はじめまして!

早速ですが、以下のような事象で困っています。

1.ネットワーク構成(aaa.bbb.ccc.n はGlobalIPです)

インターネット


[ルーター]
<aaa.bbb.ccc.1>


<eth0:aaa.bbb.ccc.2>
(仮想IP:aaa.bbb.ccc.3)
[ファイアウォールサーバ] <eth2:192.168.2.1> ←→ <192.168.2.2>[クライアントPC]
<eth1:192.168.100.1>


<IP:192.168.100.2>(
[Webサーバ]

2.目的
Iptablesを使用して、以下の事を実現する。
 ・クライアントPCから外部への接続。
 ・プライベートIPのみを持つWebサーバの公開。

3.Iptablesの設定内容

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j SNAT --to aaa.bbb.ccc.2
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j SNAT --to aaa.bbb.ccc.2

iptables -t nat -A PREROUTING -d aaa.bbb.ccc.3 -i eth2 -j DNAT --to 192.168.100.2
iptables -t nat -A PREROUTING -d aaa.bbb.ccc.3 -i eth0 -j DNAT --to 192.168.100.2

------------------------------------------------------------------------------

WEBサーバの公開を考えているのですが、外部からのアクセスができません。
Iptablesの3行目の設定を行ったところ、クライアントPCからのアクセスは
問題なく行えるようになりました。
同じように4行目の設定を追加することで、外部への公開も可能と考えたのですが
どうやらもっと奥が深いようです。
仮想IPを削除する方法も試しましたが、結果は同じでした。
基本的な設定は、
http://www.atmarkit.co.jp/flinux/rensai/security03/security03a.html
の事例と同じと考え、参考にしながら悪戦苦闘をしてみましたが、うまくいきません。
どなたか、ご教授願えれば嬉しいです。
kt
会議室デビュー日: 2003/09/09
投稿数: 5
投稿日時: 2003-09-09 09:27
FORWARD chain の情報が書いてありませんが、FORWARDing のポリシーをアクセプトに
にしても状況は変わらないですか?

グローバル側とDMZの側のインターフェースを通過するパケットをtcpdump
などでモニタリングすると状況がつかめるのではないでしょうか?

(グローバル側に、パケットは来ているか? 通過しているか? DMZから返事は出ているか?
グローバル側にパケットは出ていくか?

正しいアドレスで、パケットが出て行っていれば、問題はないはずなので
上のどっかがうまけいっていないのでしょうね)

kt
会議室デビュー日: 2003/09/09
投稿数: 5
投稿日時: 2003-09-09 14:21
ついでに、一つのインターフェイスに二つのアドレスを割り当てているようですが
ルーターからのARPの問い合わせに対して、ファイアウォール側は正しく答えていますか?
(who has aaa.bbb.ccc.3 tell aaa.bbb.ccc.1 ? に対して、自分のマックアドレスを
答えるはず)
なつ
会議室デビュー日: 2003/09/07
投稿数: 3
投稿日時: 2003-09-09 21:56
ご返答、ありがとうございます。

FORWARD に関しては、すべてアクセプトにしています。
ちなみに、INPUT、OUTPUTもアクセプトの状態でテストを行いました。
(セキュリティの設定はルーティングの確認が終わり次第、行います。)

tcpdumpは、グローバル側へパケットは到達しているようですが、
DMZ側は何も通っていないようです。どうもこのあたりが問題かと
思っています。

緊急を要したので、とりあえずファイヤーウォールにてPPPoE接続を
行うことで、サーバーの公開が可能となりました。
直接の解明にはなっていませんので気持ち悪い思いはありますが。。。
1

スキルアップ/キャリアアップ(JOB@IT)