- PR -

iptablesとpingとの関係

«前のページへ 1|2
投稿者投稿内容
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2008-11-12 11:15
おはようございます.

まずご認識いただきたいのは,
iptables は firewall としての機能を実現するものであって,
router としての機能を実現させるためのものではないということです.
firewall 専用装置が firewall としての機能のほかに
あたかも router であるかのように振る舞いますけど,
それはあくまでも firewall そのものの機能ではありません.

乱暴な例えかもしれませんが,
自家用車にカーステレオが付いていても,
それを屋内で音楽を聴くためには使いませんよね.
引用:

美那さんの書き込み (2008-11-12 10:35) より:

2. kazさんの言うとおりWAN、DMZ、LANのnetwork通信させるのが目的
→とりあえず以下の環境で仮想IPで実現できるのかプロトコルicmpを使用し、
 各端末からpingできるようにiptablesを駆使し、同通させてみる。

目的とする構成は理解できました.
ですが,やはりまず routing をちゃんと学ばれることをお奨めします.
iptables はいったん忘れてよいかと.
引用:

なので、今質問している環境は仮想IPでの管理をiptablesで可能かの検証と言えば
よろしいのですかね。

というより,実現したい環境を仮想化技術も利用して実現して,
通信上の制御を iptables で検証するということでしょう.
本来 iptables の用途は「この通信は通すけどこの通信は通さないよ」とか,
「この IP address はこっちとは通信させないよ」といったことをするものです.
そのほかに,NAT をする機能もありますが,
これも実際には rouitng そのものとは別の機能になります.
引用:

これで仮想化は実現できてると思っているのですが、これだけではIP:192.168.10.2と
IP:192.168.1.232はリンクしませんか?

仮想化のしかたによっては「link」だったりするのかもしれません.
なので「どう仮想化していますか?」と質問しています.
※例えば VMware Server を使っているとか.
引用:

また、routing tableというのを初めて聞きました。
私のイメージではiptablesのFORWORDチェーンと同様だと感じました。
少し調べてみます。

まず学ぶべきは rouitng の知識です.
iptables 云々は rouitng があって初めて機能するので,
それを知らずに「iptables で」というのは論外だと思います.
引用:

 いずれPC2はクライアントですが、(DMZ)公開サーバに変更されます。
 さらにNIC1枚増やして、その配下には内部サーバ&クライアントPCが置かれるような
 感じになります。

その「いずれ」はいつごろなんでしょう?
できれば仮想化などせずに,Server に NIC を増設して,
その Server を事実上の router にして検証するのがわかりやすいですし,
段階的に学ぶのに適していると思います.
今のように仮想化してややこしくしてしまうと,
本来学ばなければならない目的とずれてしまうと思いますよ.

[PC1]192.168.1.221
 |
eth0:192.168.1.220
[サーバ]
eth1:192.168.10.2
 |
[PC2]192.168.10.3

という物理構成は準備できないのでしょうか?
美那
ベテラン
会議室デビュー日: 2008/11/11
投稿数: 58
お住まい・勤務地: 東京都
投稿日時: 2008-11-12 13:51
kazさん、お忙しい中、朝からお返事有難う御座います。
私の知識や認識が少しずつ根本的に足りないことが分かり始めてきました。

引用:

まずご認識いただきたいのは,
iptables は firewall としての機能を実現するものであって,
router としての機能を実現させるためのものではないということです.
firewall 専用装置が firewall としての機能のほかに
あたかも router であるかのように振る舞いますけど,
それはあくまでも firewall そのものの機能ではありません.

乱暴な例えかもしれませんが,
自家用車にカーステレオが付いていても,
それを屋内で音楽を聴くためには使いませんよね.

認識合わせ、確認です。
iptablesというのはfirewall機能であり、指定したIPアドレス、ポートを
空けただけでルーティングされてはいないという意味合いで受け取りました。
合ってますか?

そして、ルーティングするにはrouting tableを使用するという意味合いで
受け取りました。
合ってますか?

そして、routeコマンドというものを使用する。
ルーティングを追加する場合は"route add〜"コマンドを使用すると言う
意味なんですよね?
routeコマンドと共にルーティングの勉強が必要であるということですよね?

引用:

>2. kazさんの言うとおりWAN、DMZ、LANのnetwork通信させるのが目的
>→とりあえず以下の環境で仮想IPで実現できるのかプロトコルicmpを使用し、
> 各端末からpingできるようにiptablesを駆使し、同通させてみる。
目的とする構成は理解できました.
ですが,やはりまず routing をちゃんと学ばれることをお奨めします.
iptables はいったん忘れてよいかと.

はい。
routeコマンドの勉強が必要だということですよね?


引用:

>なので、今質問している環境は仮想IPでの管理をiptablesで可能かの検証と言えば
>よろしいのですかね。
というより,実現したい環境を仮想化技術も利用して実現して,
通信上の制御を iptables で検証するということでしょう.
本来 iptables の用途は「この通信は通すけどこの通信は通さないよ」とか,
「この IP address はこっちとは通信させないよ」といったことをするものです.
そのほかに,NAT をする機能もありますが,
これも実際には rouitng そのものとは別の機能になります.

はい。
routeコマンドの勉強が必要だということですよね?


引用:

>これで仮想化は実現できてると思っているのですが、これだけではIP:192.168.10.2と
>IP:192.168.1.232はリンクしませんか?
仮想化のしかたによっては「link」だったりするのかもしれません.
なので「どう仮想化していますか?」と質問しています.
※例えば VMware Server を使っているとか.

私の中ではiptablesのPREROUTING,POSTROUTINGのnat変換することでリンクするものだと
思っておりました。
以下のサイトを見るとPREROUTING,POSTROUTINGのnat変換で仮想IP⇔実IPに変換していたので、
そういう先入観でルーティングできるものと思ってました。
http://www.omzonet.com/firewall.html
http://www.omzonet.com/firewall2.html
http://www.omzonet.com/firewall3.html

あくまでもPREROUTING,POSTROUTINGは送信先IP/送信元IP等を変換するだけの操作に過ぎないと
言うことですよね?

ちなみにファーアウォールサーバはTurboLinuxを使用しております。

"VMware Server"が何かはこれから調べてみます。


引用:

>また、routing tableというのを初めて聞きました。
>私のイメージではiptablesのFORWORDチェーンと同様だと感じました。
>少し調べてみます。
まず学ぶべきは rouitng の知識です.
iptables 云々は rouitng があって初めて機能するので,
それを知らずに「iptables で」というのは論外だと思います.

はい。
今の認識が間違ってなければ確かに論外ですね。A(^-^;)

引用:

> いずれPC2はクライアントですが、(DMZ)公開サーバに変更されます。
> さらにNIC1枚増やして、その配下には内部サーバ&クライアントPCが置かれるような
> 感じになります。
その「いずれ」はいつごろなんでしょう?
できれば仮想化などせずに,Server に NIC を増設して,
その Server を事実上の router にして検証するのがわかりやすいですし,
段階的に学ぶのに適していると思います.
今のように仮想化してややこしくしてしまうと,
本来学ばなければならない目的とずれてしまうと思いますよ.

[PC1]192.168.1.221
 |
eth0:192.168.1.220
[サーバ]
eth1:192.168.10.2
 |
[PC2]192.168.10.3

という物理構成は準備できないのでしょうか?

日程をお気遣い戴きまして有難う御座います。
「いずれ」というのはとりあえず気になさらないで下さい。
社内インフラですので、特に客先が関わっていないのとお金が絡んでないので、線表は
引かれてますが、大丈夫だと思います。(たぶん…汗)
間に合わなければ、私が怒られて済むだと思いますので…はい〜…

kazさんが提案して戴いた仮想IPを実現しないネットワーク構想は可能です。
そもそも最初、そうしていました。
ただ、「192.168.1.xxxの世界と192.168.10.xxxの世界をリンクさせるのってどうやるん
だろう?」と考えて検索してたら仮想IPのお話があったので、仮想IPを使用することで
実現させることができるんだと思ったんです。
セキュアなサーバとしてもそっちがベターなのかな〜って…

経緯はそんな感じです。

ですので、routeコマンドでのルーティングの勉強をして、仮想IPを使用しないネットワークで
試してみようと思います。



お忙しいのに線表のことまで気にして頂いて有難う御座います。
このまま悩んでいたら袋小路に追いやられていたかもしれません。
感謝です。


以上、宜しくお願い致します。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2008-11-12 21:15
こんばんは.
引用:

美那さんの書き込み (2008-11-12 13:51) より:

認識合わせ、確認です。
iptablesというのはfirewall機能であり、指定したIPアドレス、ポートを
空けただけでルーティングされてはいないという意味合いで受け取りました。
合ってますか?

はい,基本的にその認識で良いと思います.
引用:

そして、ルーティングするにはrouting tableを使用するという意味合いで
受け取りました。

中略
引用:

はい。
routeコマンドの勉強が必要だということですよね?

そういうことです.
引用:

あくまでもPREROUTING,POSTROUTINGは送信先IP/送信元IP等を変換するだけの操作に過ぎないと言うことですよね?

NAT や NAPT は,今はそんな感じで認識しておいて良いと思います.
引用:

ですので、routeコマンドでのルーティングの勉強をして、仮想IPを使用しないネットワークで試してみようと思います。

そうですね,まず network をちゃんと作った上で,
「では NAT はどう機能するのか?」を学ぶのが良いと思います.
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)