- - PR -
iptablesとpingとの関係
投稿者 | 投稿内容 | ||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2008-11-12 11:15
おはようございます.
まずご認識いただきたいのは, iptables は firewall としての機能を実現するものであって, router としての機能を実現させるためのものではないということです. firewall 専用装置が firewall としての機能のほかに あたかも router であるかのように振る舞いますけど, それはあくまでも firewall そのものの機能ではありません. 乱暴な例えかもしれませんが, 自家用車にカーステレオが付いていても, それを屋内で音楽を聴くためには使いませんよね.
目的とする構成は理解できました. ですが,やはりまず routing をちゃんと学ばれることをお奨めします. iptables はいったん忘れてよいかと.
というより,実現したい環境を仮想化技術も利用して実現して, 通信上の制御を iptables で検証するということでしょう. 本来 iptables の用途は「この通信は通すけどこの通信は通さないよ」とか, 「この IP address はこっちとは通信させないよ」といったことをするものです. そのほかに,NAT をする機能もありますが, これも実際には rouitng そのものとは別の機能になります.
仮想化のしかたによっては「link」だったりするのかもしれません. なので「どう仮想化していますか?」と質問しています. ※例えば VMware Server を使っているとか.
まず学ぶべきは rouitng の知識です. iptables 云々は rouitng があって初めて機能するので, それを知らずに「iptables で」というのは論外だと思います.
その「いずれ」はいつごろなんでしょう? できれば仮想化などせずに,Server に NIC を増設して, その Server を事実上の router にして検証するのがわかりやすいですし, 段階的に学ぶのに適していると思います. 今のように仮想化してややこしくしてしまうと, 本来学ばなければならない目的とずれてしまうと思いますよ. [PC1]192.168.1.221 | eth0:192.168.1.220 [サーバ] eth1:192.168.10.2 | [PC2]192.168.10.3 という物理構成は準備できないのでしょうか? | ||||||||||||||||||||||||
|
投稿日時: 2008-11-12 13:51
kazさん、お忙しい中、朝からお返事有難う御座います。
私の知識や認識が少しずつ根本的に足りないことが分かり始めてきました。
認識合わせ、確認です。 iptablesというのはfirewall機能であり、指定したIPアドレス、ポートを 空けただけでルーティングされてはいないという意味合いで受け取りました。 合ってますか? そして、ルーティングするにはrouting tableを使用するという意味合いで 受け取りました。 合ってますか? そして、routeコマンドというものを使用する。 ルーティングを追加する場合は"route add〜"コマンドを使用すると言う 意味なんですよね? routeコマンドと共にルーティングの勉強が必要であるということですよね?
はい。 routeコマンドの勉強が必要だということですよね?
はい。 routeコマンドの勉強が必要だということですよね?
私の中ではiptablesのPREROUTING,POSTROUTINGのnat変換することでリンクするものだと 思っておりました。 以下のサイトを見るとPREROUTING,POSTROUTINGのnat変換で仮想IP⇔実IPに変換していたので、 そういう先入観でルーティングできるものと思ってました。 http://www.omzonet.com/firewall.html http://www.omzonet.com/firewall2.html http://www.omzonet.com/firewall3.html あくまでもPREROUTING,POSTROUTINGは送信先IP/送信元IP等を変換するだけの操作に過ぎないと 言うことですよね? ちなみにファーアウォールサーバはTurboLinuxを使用しております。 "VMware Server"が何かはこれから調べてみます。
はい。 今の認識が間違ってなければ確かに論外ですね。A(^-^;)
日程をお気遣い戴きまして有難う御座います。 「いずれ」というのはとりあえず気になさらないで下さい。 社内インフラですので、特に客先が関わっていないのとお金が絡んでないので、線表は 引かれてますが、大丈夫だと思います。(たぶん…汗) 間に合わなければ、私が怒られて済むだと思いますので…はい〜… kazさんが提案して戴いた仮想IPを実現しないネットワーク構想は可能です。 そもそも最初、そうしていました。 ただ、「192.168.1.xxxの世界と192.168.10.xxxの世界をリンクさせるのってどうやるん だろう?」と考えて検索してたら仮想IPのお話があったので、仮想IPを使用することで 実現させることができるんだと思ったんです。 セキュアなサーバとしてもそっちがベターなのかな〜って… 経緯はそんな感じです。 ですので、routeコマンドでのルーティングの勉強をして、仮想IPを使用しないネットワークで 試してみようと思います。 お忙しいのに線表のことまで気にして頂いて有難う御座います。 このまま悩んでいたら袋小路に追いやられていたかもしれません。 感謝です。 以上、宜しくお願い致します。 | ||||||||||||||||||||||||
|
投稿日時: 2008-11-12 21:15
こんばんは.
はい,基本的にその認識で良いと思います.
中略
そういうことです.
NAT や NAPT は,今はそんな感じで認識しておいて良いと思います.
そうですね,まず network をちゃんと作った上で, 「では NAT はどう機能するのか?」を学ぶのが良いと思います. |