このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

iptables.shの複数ネットワークセグメント対応 このメッセージに返信する
日時: 2009/06/30 22:50
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

お陰様で別スレッドのBINDのセグメント越えの件が無事解決し、その他アクセス対象
の各種サーバに今回増設したセグメントへのスタティックルートを追加するなどして
ネットワークセグメントの増設計画がほぼ完了しました。(^o^)

ところで、移設完了直後にWebアクセスは正常だが、メールアクセスが出来ないという
事態に直面し原因を調べたところ、このサイトの通りに運用しているiptables(.sh)
が内部の複数セグメントからのアクセスに対応していない(?)のが原因らしいこと
が解りました。

つきましてはこのサイトで提供・開示されているiptables.shを内部の複数セグメント
からのアクセスに対応させるにはどこに手を加えたら宜しいでしょうか?尚、現状は
仕方ないので取り敢えずiptablesを停止して対応しています(但し、外部からの
アクセスはルータのアクセスリストで制御中)。

宜しくお願い致します。

以上
記事編集 編集

Page: | 1 | 2 |

Re: iptables.shの複数ネットワークセグメント対応 このメッセージに返信する
日時: 2009/07/01 08:32
名前: ZED
URL:
strangerのが正答ですが・・・


# 内部ネットワークのネットマスク取得
LOCALNET_MASK=`ifconfig $LAN|sed -e 's/^.*Mask:\([^ ]*\)$/\1/p' -e d`

# 内部ネットワークアドレス取得
LOCALNET_ADDR=`netstat -rn|grep $LAN|grep $LOCALNET_MASK|cut -f1 -d' '`
LOCALNET=$LOCALNET_ADDR/$LOCALNET_MASK

を削除して

LOCALNET1=192.168.1.0/255.255.255.0
LOCALNET2=192.168.10.0/255.255.255.0

とし

# 内部からのアクセスをすべて許可
iptables -A INPUT -s $LOCALNET1 -j ACCEPT
iptables -A INPUT -s $LOCALNET2 -j ACCEPT

後その他の、$LOCALNETと表記されているところを変更
としてしまえば良いのでは?と提案!


って意味なのかな〜??それとも・・・違う意味でしたでしょうか〜?

記事編集 編集
Re: iptables.shの複数ネットワークセグメント対応 このメッセージに返信する
日時: 2009/07/01 13:11
名前: Johann
URL:
複数のセグメント対応ということでしたら、ZEDさんのやり方で行けると思います。
strangerさんのご回答は、一つのネットワークセグメントの大きさを広げる時に使える方法ですね。その場合、iptables.shのみならず全機器のサブネットマスク変更が必要になります。
記事編集 編集
Re: iptables.shの複数ネットワークセグメント対応 このメッセージに返信する
日時: 2009/07/01 14:10
名前: stranger
URL: http://ja.528p.com/
>複数のセグメント対応ということでしたら、ZEDさんのやり方で行けると思います。
>strangerさんのご回答は、一つのネットワークセグメントの大きさを広げる時に使える方法ですね。その場合、iptables.shのみならず全機器のサブネットマスク変更が必要になります。


LOCALNET1=192.168.1.0/255.255.255.0
LOCALNET2=192.168.2.0/255.255.255.0

iptables -A INPUT -s $LOCALNET1 -j ACCEPT
iptables -A INPUT -s $LOCALNET2 -j ACCEPT

上記の設定でも異なったセグメントではブロードキャストできないし、
サーバ機への接続許可だけなので

サーバ機だけサブネットマスクをかえれば良いように思う

ネットワークアドレスとサブネットマスクで使用できるアドレス範囲をきめている
192.168.0.0/255.255.254.0なら
192.168.0.0から192.168.1.255

192.168.0.0/255.255.252.0なら
192.168.0.0から192.168.3.255
記事編集 編集
Re: iptables.shの複数ネットワークセグメント対応 このメッセージに返信する
日時: 2009/07/01 14:18
名前: ZED
URL:
そうですね。セグメント越えは出来ませんからね。

ネットマスクの方が楽かもですね。
記事編集 編集
Re: iptables.shの複数ネットワークセグメント対応 このメッセージに返信する
日時: 2009/07/01 14:41
名前: Johann
URL:
そうですね。複数のネットワークセグメントが近所同士ならサーバーのサブネットを弄るのも手かもしれません。

下記のように全く違うセグメントなら難しいと思いますが・・・ここら辺はよっしーさんの環境次第になりますね。
NIC1: 192.168.0.1/24
NIC2: 10.0.0.1/24
記事編集 編集
Re: iptables.shの複数ネットワークセグメント対応 このメッセージに返信する
日時: 2009/07/01 15:00
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんにちは、お世話になります。

皆様>
暫くL3スイッチと格闘していた間(?)に沢山のレスを有難う御座います。(^^)

結論から申し上げますと、上記strangerさんがスレッドNo.1で仰っていた
方法で無事解決しました。(^o^)

小生の環境はサブネット同士が隣り合う状態ですので、確かにサーバ側
のサブネットを変更、というのも考えたんですが配下に様々な機器
(IP Phone等)を配置しているので既存の機器への影響度を最小限に
食い止める為、上記の方法を選択しました。

CCNAを先日取ったばかり(現在次のCCNPの勉強中)なんですが、改めて
今回の件でIPサブネッティングの復習になりました。有難う御座いました。(^_^)

宜しくお願い致します。

以上
記事編集 編集
Re: iptables.shの複数ネットワークセグメント対応 このメッセージに返信する
日時: 2009/07/01 21:20
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

上記の件、これまでにやった方法ですと結局サーバ上に今回増設した
ネットワークへのスタティックルートを追加しないと追加したネットワーク
配下のクライアントから外部にアクセス出来ないという弊害が出ていました
ので、以後の管理を簡略化するためにもサーバのサブネットマスクを22ビット
に変更して対応することにしました。お陰で以前よりもネットワーク構成が
スマートになったような気がします。(^o^)

宜しくお願い致します。

以上
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -