- - PR -
2枚目のNICを使ってLANサーバをDMZにも参加させたい場合のルーティングテーブル設定について(RedhatLinux)
投稿者 | 投稿内容 | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2008-10-10 22:16
kazさん、非武装エリアさん、BackDoorさん、neuさん
※後ろの方に質問が一つ残っていますのでよかったら答えてあげて下さいmm 皆さん、大変わかりやすく説明頂き、ありがとうございます。 大変勉強になりました。感謝致します。 ちなみに私、SrcIP、DestIPの概念がきちんと頭に入っておらず、 『DMZからのリクエストに対しては不特定の宛先にパケットを運ぶ必要がある』 という認識を持てなかったため、DMZ側をデフォゲにすべきことが理解できておりませんでした。 (今は理解しました。) また、ServerL1はDMZに参加させLANから切り離さないといけない ということについても理解致しました。 今はServerL1はLANから切り離し、DMZに属させました。 が、LANから離す前に、実験的にL1ServerをInternetとLanからアクセスできるように設定してみました。 皆さんのご指導の通り、デフォゲをeth1側に設定し、eth0側はstatic routeで対応することで 実現できました。 (以下ファイルを更新後、ネットワーク再起動) /etc/sysconfig/network-scripts/ifcfg-eth0(デフォゲを設定しないよう変更) /etc/sysconfig/network-scripts/ifcfg-eth1(デフォゲを設定するよう変更) /etc/sysconfig/static-routes(eth0側のルーティングを追記) ■これを通じてなお、1点疑問が残っておりますので質問させて下さい。 上のネットワーク再起動時には、内部的に route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.0.0.0.97 eth1 が実行されていると思うのですが、これは成功しています。 一方で、ネットワーク再起動直前に試してみた以下のコマンドは失敗しました。 route add -net 10.0.0.96 netmask 255.255.255.240 gw 10.0.0.0.97 eth1 →『SIOCADDRT: ネットワークに届きません』 なぜ、↓はOKで、 route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.0.0.0.97 eth1 ↓はNGなのかがわかりません。 route add -net 10.0.0.96 netmask 255.255.255.240 gw 10.0.0.0.97 eth1 ifcfg-eth0とstatic-routesには、eth1側の記述はなく、 ifcfg-eth1で変更したのは、GATEWAYの行を追記しただけなので、 2つのコマンドを叩いた時点での、eth1側に関する設定が異なるとは思えないのですが…。 識者の皆様、ご回答頂ければ幸いです。 | ||||||||||||
|
投稿日時: 2008-10-10 22:19
すみません、上の書き込み中のコマンドのIPアドレスがおかしかったので訂正します。
×10.0.0.0.97 ○10.0.0.97 ↓コマンドはこうでした。 route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.0.0.97 eth1 route add -net 10.0.0.96 netmask 255.255.255.240 gw 10.0.0.97 eth1 | ||||||||||||
|
投稿日時: 2008-10-10 23:00
こんばんは.
これは,「どこかわからないときは gateway へ」で,
これは,「10.0.0.96/28 の network へ送るときは 10.0.0.97/28 へ」です. 10.0.0.97 という host は 10.0.0.96/28 の network に含まれてしまうので, gateway にはなれません,というか必要ありません.
default gateway の記述は /etc/sysconfig/network に書くのではなかったかと. |