（仮）

_ 忘れかけだけどメモ。

せっかくだったので、IPマスカレードを復習してメモをとることにした。
まず、外側に向いているNICをeth0(dhcp)、内側に向いているNICをeth1(192.168.1.1)とする。外部のホストは192.168.0.1。
1)最初にtojimariで基本的なFireWallの設定をする。具体的には「高度」を選択し、カスタマイズでeth1を信頼するデバイスとして選択しておく。それと、SSHとDHCPのポートも選択して開けておく。
2)次にIPマスカレードの設定。すべてのパケットがeth0をとおっていくようにする。

sudo  iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

3)ip_forwardを有効にする。

echo 1 > /proc/sys/net/ipv4/ip_forward

もしくは/etc/sysctl.confのnet.ipv4.ip_forwardを1にすると起動時に有効になる。
4)最後にクライアントの設定。デフォルトゲートウェイにIPマスカレードするサーバ(192.168.1.1)を指定して、プライマリ ネームサーバの設定を外部のサーバ(192.168.0.1)にする。

こんなもんかな？
tojimariで設定してるから、セキュリティ的にもそれなりにOKなハズ。 フー、頭痛い。

_ FTP

追記。IPマスカレードでFTPを利用するにはip_nat_ftpとip_conntrack_ftpの二つのmoduleをロードする必要がある。

その他の必要なmoduleは自動的にロードされてるみたいだが、この二つは手動でmodprobeしてやらないとダメらしい。

_ なんか

iptablesがダメなんではなくて、NICがダメになっている気がしてきた。使っているのがCoregaのUSB-TXSというUSBなNICなので、そんなこともあり得るかな、と。

インストール後一回目の起動では問題なく動作しているものの、二回目以降はpingしかとおらなくなる。

とりあえず一度、USB-TXS側でsshとかできるかを試してみればよいのか。

_ IPマスカレード

うむ。

もうほんとうにわけがわからなくなってきたので、サーバは別マシンにして、LANの構成を変更。そしてIPマスカレードしてみることにした。

これはこれで難儀なものだったが、セキュリティを考えなければなんとかできた。もともと外部からはアクセスできない環境なので、とりあえずは良しとする。このへんは追々。

でも、色々やりすぎて、もういちど設定する自身なし。

忘れそなのは、クライアントのデフォルトゲートウェイにIPマスカレードするサーバを指定して、プライマリ ネームサーバの設定を外部のサーバ*1にすること。今日はこれでハマっていました。うーん、上記の問題も実は似たようなことでハマっていたような気がしてきたぞ。今更もう確かめたくもないが。

さて、これで本来の目的を果せるのだろうか。というか、なにやりたかったんだっけ？

_ この寒いのに

iptablesで悩みスギてかぜが悪化してきた。

このウイルスはおそらくタイ原産なのでつらい........。

_ やっぱり続く。

昨日、日記を書いてからサーバを再起動したら、また外に出られなくなった。*1やっぱりまだよく理解できてないらしい。

で、今は学校から更新しています。

本屋でRedHatの本を立ち読みしていて気が付いたんだけど、昨日はどうも開けるポートの指定の仕方を間違っていたようだ。

番号：tcpとしないといけなかったところを番号だけ入力していたと思う。とりあえず帰ったらやってみるつもり。

でも、昨日の段階でも/etc/sysconfig/iptablesはちゃんとなっていたような気がするし、直編集でポートを開けてもダメだったような気がしないでもない。やっぱり謎。

　

今日これ以上日記が更新されなかったということは、今日もiptablesの設定がちゃんとできなかったということです。

続く。