<<トップページへ
■作業
ubuntu16.04LTSで動作確認した設定ファイルだけ書きます。
※まだ試行段階レベルなのでセキュリティー的に問題がある可能性があるので注意の事
1. /etc/network/interfaces
LAN
WANを二枚のNICで分ける設定について書きます。table 100は次で作成します。
(rt_tables)下の例は enp2s1 をLANへ enp3s0
をWANへ振り分けています。
GUIの設定ツールでは何故か上手く出来なかったのですべてコマンドラインと
テキストエディターで設定しています。
作業は手順としては最初にWANをコマンドラインで接続して次にLANを設定すると
楽だと思います。
# This file describes the network interfaces
available on your system
# and how to activate them. For more
information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto enp2s1
iface enp2s1 inet static
address 192.168.11.11
network 192.168.0.0
netmask 255.255.255.0
#broadcast 192.168.11.255
#gateway 192.168.11.1
#dns-nameservers 192.168.11.1
post-up /sbin/ip rule add from 192.168.11.0/24
table 100 prio 10000
post-up /sbin/ip route add default via
192.168.11.1 dev enp2s1 table 100
post-down /sbin/ip route del default table 100
post-down /sbin/ip rule del table 100 prio
10000
##############################
#auto enp3s0
#iface enp3s0 inet dhcp
auto dsl-provider
iface dsl-provider inet ppp
pre-up /bin/ip link set enp3s2 up # line
maintained by pppoeconf
provider dsl-provider
auto enp3s2
iface enp3s2 inet manual
2. /etc/iproute2/rt_tables
2枚のNICでルーティング領域を分け
るためのテーブルを追加
# reserved values
#
255 local
254 main
253 default
0 unspec
#
# local
#
#1 inr.ruhep
100 mytable
3./etc/iptables/rules.v4 を編集
ルーターを介しての接続ではなくなるの
で最低限の守るための設定をします。
*filter
#
ループバック(lo0)はすべて許可する。ループバック以外の127.0.0.0/8に関する通信はすべて禁止する。
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
# 確立したコネクションに関する内側への通信はすべて許可する。
-A INPUT -m state --state ESTABLISHED,RELATED
-j ACCEPT
# 外部への通信はすべて許可する。
-A OUTPUT -j ACCEPT
# HTTPとHTTPSの通信はすべて許可する。
-A INPUT -p tcp –d <a.b.c.d> --dport 80
-j ACCEPT
-A INPUT -p tcp –d <a.b.c.d> --dport 443
-j ACCEPT
-A INPUT -p tcp –d <e.f.g.h> --dport 80
-j ACCEPT
-A INPUT -p tcp –d <e.f.g.h> --dport 443
-j ACCEPT
# 通信はすべて許可する。
-A INPUT -p tcp –d <a.b.c.d> --dport 25
-j ACCEPT
-A INPUT -p tcp –d <a.b.c.d> --dport 110
-j ACCEPT
-A INPUT -p tcp –d <e.f.g.h> --dport 587
-j ACCEPT
-A INPUT -p tcp –d <e.f.g.h> --dport 995
-j ACCEPT
# SSH接続をすべて許可する。
-A INPUT -p tcp -m state --state NEW –dport
<N> -j ACCEPT
# PINGはすべて許可する
-A INPUT -p icmp -m icmp --icmp-type 8 -j
ACCEPT
# 頻繁な不正アクセスはログに残す
-A INPUT -m limit --limit 5/min -j LOG
--log-prefix "iptables denied: " --log-level 7
# その他の通信はすべて禁止する。
-A INPUT -j REJECT
-A FORWARD -j REJECT