- PR -

2枚目のNICを使ってLANサーバをDMZにも参加させたい場合のルーティングテーブル設定について(RedhatLinux)

«前のページへ 1|2
投稿者投稿内容
@10
会議室デビュー日: 2008/10/09
投稿数: 11
お住まい・勤務地: 東京
投稿日時: 2008-10-10 22:16
kazさん、非武装エリアさん、BackDoorさん、neuさん

※後ろの方に質問が一つ残っていますのでよかったら答えてあげて下さいmm

皆さん、大変わかりやすく説明頂き、ありがとうございます。
大変勉強になりました。感謝致します。

ちなみに私、SrcIP、DestIPの概念がきちんと頭に入っておらず、
『DMZからのリクエストに対しては不特定の宛先にパケットを運ぶ必要がある』
という認識を持てなかったため、DMZ側をデフォゲにすべきことが理解できておりませんでした。
(今は理解しました。)

また、ServerL1はDMZに参加させLANから切り離さないといけない
ということについても理解致しました。
今はServerL1はLANから切り離し、DMZに属させました。

が、LANから離す前に、実験的にL1ServerをInternetとLanからアクセスできるように設定してみました。
皆さんのご指導の通り、デフォゲをeth1側に設定し、eth0側はstatic routeで対応することで
実現できました。
(以下ファイルを更新後、ネットワーク再起動)
/etc/sysconfig/network-scripts/ifcfg-eth0(デフォゲを設定しないよう変更)
/etc/sysconfig/network-scripts/ifcfg-eth1(デフォゲを設定するよう変更)
/etc/sysconfig/static-routes(eth0側のルーティングを追記)

■これを通じてなお、1点疑問が残っておりますので質問させて下さい。

上のネットワーク再起動時には、内部的に
route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.0.0.0.97 eth1
が実行されていると思うのですが、これは成功しています。

一方で、ネットワーク再起動直前に試してみた以下のコマンドは失敗しました。
route add -net 10.0.0.96 netmask 255.255.255.240 gw 10.0.0.0.97 eth1
→『SIOCADDRT: ネットワークに届きません』

なぜ、↓はOKで、
route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.0.0.0.97 eth1
↓はNGなのかがわかりません。
route add -net 10.0.0.96 netmask 255.255.255.240 gw 10.0.0.0.97 eth1

ifcfg-eth0とstatic-routesには、eth1側の記述はなく、
ifcfg-eth1で変更したのは、GATEWAYの行を追記しただけなので、
2つのコマンドを叩いた時点での、eth1側に関する設定が異なるとは思えないのですが…。

識者の皆様、ご回答頂ければ幸いです。
@10
会議室デビュー日: 2008/10/09
投稿数: 11
お住まい・勤務地: 東京
投稿日時: 2008-10-10 22:19
すみません、上の書き込み中のコマンドのIPアドレスがおかしかったので訂正します。
×10.0.0.0.97
○10.0.0.97

↓コマンドはこうでした。
route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.0.0.97 eth1
route add -net 10.0.0.96 netmask 255.255.255.240 gw 10.0.0.97 eth1
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2008-10-10 23:00
こんばんは.
引用:

@10さんの書き込み (2008-10-10 22:16) より:

なぜ、↓はOKで、
route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.0.0.0.97 eth1

これは,「どこかわからないときは gateway へ」で,
引用:

↓はNGなのかがわかりません。
route add -net 10.0.0.96 netmask 255.255.255.240 gw 10.0.0.97 eth1

これは,「10.0.0.96/28 の network へ送るときは 10.0.0.97/28 へ」です.
10.0.0.97 という host は 10.0.0.96/28 の network に含まれてしまうので,
gateway にはなれません,というか必要ありません.
引用:

ifcfg-eth0とstatic-routesには、eth1側の記述はなく、
ifcfg-eth1で変更したのは、GATEWAYの行を追記しただけなので、

default gateway の記述は /etc/sysconfig/network に書くのではなかったかと.
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)