このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

NIC2枚の場合のiptables このメッセージに返信する
日時: 2010/09/06 20:39
名前: 金城
URL:
皆様はじめまして。
ここのサイトを参考にしてサーバを構築しています。
ありがとうございます。

件名の事を教えていただきたく、書き込みを致しました。
現在サーバを以下の構成で構築しております。

WAN(固定IP)      WAN(非固定IP)
  │            │
RTX-1100         社内用ルータ
(202.xxx.xxx.1)     (192.168.1.1)
  └──────┬─────┘
       eth1 │ eth0
  202.xxx.xxx.5 │ 192.168.1.254
       CentOS 5.5
     (ファイルサーバ)

それぞれのNICは以下のように設定されています。

/etc/sysconfig/network
NETWORKING=yes
NETWORKING_IPV6=no
HOSTNAME=xxx.xxxxx.jp
GATEWAY=192.168.1.1
GATEWAYDEV=eth0

/etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=static
HWADDR=xx:xx:xx:xx:xx:xx
IPADDR=192.168.1.254
NETMASK=255.255.255.0
ONBOOT=yes

/etc/sysconfig/network-scripts/
DEVICE=eth1
BOOTPROTO=static
BROADCAST=202.xxx.xxx.15
HWADDR=xx:xx:xx:xx:xx:xx
IPADDR=202.xxx.xxx.5
NETMASK=255.255.255.240
NETWORK=202.xxx.xxx.0
ONBOOT=yes

これで行いたい事は、内向けにsambaによるファイル共有を行い、
外向けにはWebDAV越しにファイル共有を行おうと思っています。

この場合、iptablesはどのように記述すれば、
ローカルに対しても外に対しても必要なポートを開ける事が出来るでしょうか?
iptablesについては、ここのサイト内のiptables.sh他 を必要個所だけ変更して利用しています。
(ローカルに対してはポートを開けるか、通信を信用してポートを閉じないかの
どちかを行いたいと思っています)

お知恵を拝借出来れば幸いです。
よろしくお願いします。
記事編集 編集
Re: NIC2枚の場合のiptables このメッセージに返信する
日時: 2010/09/07 10:37
名前: Yaxa
URL: http://yaxa.jp
ポート解放仕方とか書いてありますよ

http://centossrv.com/iptables.shtml
記事編集 編集
Re: NIC2枚の場合のiptables このメッセージに返信する
日時: 2010/09/07 12:04
名前: stranger
URL: http://ja.528p.com/
i オプションで インターフェースを限定します

下記の場合 eth1から入力するtcpで到達点が80番ポートのパケットを許可します
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
SSL認証するなら
iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT

eth0からの入力を許可したいなら
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

eth1 eth0ともにアクセスを許可する場合は、インターフェースの設定は省略可(全てを許可)
どちらか一方を許可する場合は、i オプションで インターフェースを限定します

ちなみにOUTPUTの場合は -o でインターフェースを限定します

蛇足
WebDAVは安全ではないので、重要なファイルは扱わないこと
記事編集 編集
Re: NIC2枚の場合のiptables このメッセージに返信する
日時: 2010/09/08 18:22
名前: 金城
URL:
みなさん、ありがとうございます。
いただいた内容なども含め、iptables.shを以下のように設定してみました。

(ここから)

#!/bin/bash

#---------------------------------------#
# 設定開始 #
#---------------------------------------#

# インタフェース名定義
LAN=eth0
WAN=eth1

#---------------------------------------#
# 設定終了 #
#---------------------------------------#

# 内部ネットワークのネットマスク取得
LOCALNET_MASK=`ifconfig $LAN|sed -e 's/^.*Mask:\([^ ]*\)$/\1/p' -e d`
# 内部ネットワークアドレス取得
LOCALNET_ADDR=`netstat -rn|grep $LAN|grep $LOCALNET_MASK|cut -f1 -d' '`
LOCALNET=$LOCALNET_ADDR/$LOCALNET_MASK

# 外部ネットワークのネットマスク取得
WANNET_MASK=`ifconfig $WAN|sed -e 's/^.*Mask:\([^ ]*\)$/\1/p' -e d`
# 外部ネットワークアドレス取得
WANNET_ADDR=`netstat -rn|grep $WAN|grep $WANNET_MASK|cut -f1 -d' '`
WANNET=$WANNET_ADDR/$WANNET_MASK

(中略)

# 内部からのアクセスをすべて許可
iptables -A INPUT -s $LOCALNET -j ACCEPT
iptables -A INPUT -s $WANNET -j ACCEPT

(中略)

(sambaを利用するため、コメントアウト)
# 外部とのNetBIOS関連のアクセスはログを記録せずに破棄
# ※不要ログ記録防止
#iptables -A INPUT -s ! $LOCALNET -p tcp -m multiport --dports 135,137,138,139,445 -j DROP
#iptables -A INPUT -s ! $LOCALNET -p udp -m multiport --dports 135,137,138,139,445 -j DROP
#iptables -A OUTPUT -d ! $LOCALNET -p tcp -m multiport --sports 135,137,138,139,445 -j DROP
#iptables -A OUTPUT -d ! $LOCALNET -p udp -m multiport --sports 135,137,138,139,445 -j DROP

(中略)

#----------------------------------------------------------#
# 各種サービスを公開する場合の設定(ここから) #
#----------------------------------------------------------#

# 外部からのTCP22番ポート(SSH)へのアクセスを日本からのみ許可
iptables -A INPUT -p tcp --dport 22 -j ACCEPT_COUNTRY

# 外部からのTCP/UDP53番ポート(DNS)へのアクセスを許可
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT

# 外部からのTCP80番ポート(HTTP)へのアクセスを許可
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 外部からのTCP443番ポート(HTTPS)へのアクセスを許可
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 内部からのTCP389番ポート(LDAP)へのアクセスを許可
iptables -A INPUT -i $LAN -p tcp --dport 389 -j ACCEPT

# 内部からのTCP901番ポート(SWAT)へのアクセスを許可
iptables -A INPUT -i $LAN -p tcp --dport 901 -j ACCEPT

(ここまで)

というようにしてみました。
これで現在は動いているようですが、
何か問題もしくは勘違いしていることなでありませんでしょうか?

> 蛇足
> WebDAVは安全ではないので、重要なファイルは扱わないこと
了解しております。
大事なファイルと、そうでないファイル(?)は共有先を変えており、
大事でないほうの共有のみ、WebDAVにて見えるようにしております。

みなさんありがとうございます。
そして、まだもう少しお付き合いいただけるとありがたいです。
よろしくお願いします。
記事編集 編集
Re: NIC2枚の場合のiptables このメッセージに返信する
日時: 2010/09/08 18:47
名前: stranger
URL: http://ja.528p.com/
結局、住み分けはしないのですね

ローカルでsambaを有効にするなら
両方のルータで外部からのsambaへのパケットを止めておく

WANNETの設定を確認しておく
WANNET_MASKを間違うとグローバルアドレスから無条件でアクセスされてしまう
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -