-----------Google-----------




Linux Server LAN WAN 2枚 NIC 振り分け

<<トップページへ

■作業

ubuntu16.04LTSで動作確認した設定ファイルだけ書きます。
※まだ試行段階レベルなのでセキュリティー的に問題がある可能性があるので注意の事

1. /etc/network/interfaces
LAN WANを二枚のNICで分ける設定について書きます。table 100は次で作成します。
(rt_tables)下の例は enp2s1 をLANへ enp3s0 をWANへ振り分けています。
GUIの設定ツールでは何故か上手く出来なかったのですべてコマンドラインと
テキストエディターで設定しています。
作業は手順としては最初にWANをコマンドラインで接続して次にLANを設定すると
楽だと思います。

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto enp2s1
iface enp2s1 inet static
address 192.168.11.11
network 192.168.0.0
netmask 255.255.255.0
#broadcast 192.168.11.255
#gateway 192.168.11.1
#dns-nameservers 192.168.11.1
post-up /sbin/ip rule add from 192.168.11.0/24 table 100 prio 10000
post-up /sbin/ip route add default via 192.168.11.1 dev enp2s1 table 100
post-down /sbin/ip route del default table 100
post-down /sbin/ip rule del table 100 prio 10000
##############################
#auto enp3s0
#iface enp3s0 inet dhcp

auto dsl-provider
iface dsl-provider inet ppp
pre-up /bin/ip link set enp3s2 up # line maintained by pppoeconf
provider dsl-provider

auto enp3s2
iface enp3s2 inet manual


2. /etc/iproute2/rt_tables
2枚のNICでルーティング領域を分け るためのテーブルを追加

# reserved values
#
255    local
254    main
253    default
0    unspec
#
# local
#
#1    inr.ruhep
100    mytable

3./etc/iptables/rules.v4 を編集
ルーターを介しての接続ではなくなるの で最低限の守るための設定をします。

*filter

# ループバック(lo0)はすべて許可する。ループバック以外の127.0.0.0/8に関する通信はすべて禁止する。
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

# 確立したコネクションに関する内側への通信はすべて許可する。
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 外部への通信はすべて許可する。
-A OUTPUT -j ACCEPT

# HTTPとHTTPSの通信はすべて許可する。
-A INPUT -p tcp –d <a.b.c.d> --dport 80 -j ACCEPT
-A INPUT -p tcp –d <a.b.c.d> --dport 443 -j ACCEPT
-A INPUT -p tcp –d <e.f.g.h> --dport 80 -j ACCEPT
-A INPUT -p tcp –d <e.f.g.h> --dport 443 -j ACCEPT

# 通信はすべて許可する。
-A INPUT -p tcp –d <a.b.c.d> --dport 25 -j ACCEPT
-A INPUT -p tcp –d <a.b.c.d> --dport 110 -j ACCEPT
-A INPUT -p tcp –d <e.f.g.h> --dport 587 -j ACCEPT
-A INPUT -p tcp –d <e.f.g.h> --dport 995 -j ACCEPT

# SSH接続をすべて許可する。
-A INPUT -p tcp -m state --state NEW –dport <N> -j ACCEPT

# PINGはすべて許可する
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

# 頻繁な不正アクセスはログに残す
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

# その他の通信はすべて禁止する。
-A INPUT -j REJECT
-A FORWARD -j REJECT


Copyright©2005-2006  熊の巣  All Right Reserved.  管理人へ メール