ずっと前にiptablesの話を書こうと言っていました。
やっと実現。
といっても、フィルターの部分は次回に。
今回はルーターとしての動作について書きます。
iptables自体はデフォルトで組み込まれているので、インストールとかは問題ないですね。
後は設定ファイルを作ります。といっても、コマンド羅列したスクリプトです。
--------------------------------
#!/bin/sh
trusthost='192.168.2.1'
internal_ip='192.168.0.0/16'
my_internet_ip='xxx.xxx.xxx.129'
my_internal_ip='192.168.1.1'
echo 1 > /proc/sys/net/ipv4/ip_forward
##############
#Flush & Reset
##############
iptables -F
iptables -t nat -F
iptables -X
##############
#Deafult Rule
##############
iptables -P FORWARD DROP
iptables -A FORWARD -i eth0 -o eth1 -s $internal_ip -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 --protocol tcp --dport 80 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#################
#SNAT(masquerade)
#################
iptables -t nat -A POSTROUTING -o eth1 -s $internal_ip -j SNAT --to-source $my_internet_ip
#################
#DNAT(masquerade)
#################
iptables -t nat -A PREROUTING -i eth1 --protocol tcp --dport 80 -j DNAT --to-destination $trusthost
--------------------------------
これを実行すれば、ルーターとして動作します。
最初の部分は変数の定義。自分の2つのIP(内側と外側)や、プライベートネットワークのアドレス、後で出てくるポートフォワード(port foward)先のホストなんかを定義してます。
echoの行はルーターとして動作させるために必要です。これをしないとFORWARDが使えません。
次の部分は、まさに初期化。デフォルトのテーブル以外にNAT用のテーブルも使います。
その次がやっとルール。
ここでは、「すべて拒否」の後、「内から外は許可」、「外から80番ポートへのアクセスはtrusthostに転送」、「コネクションが確立した後のパケットは両方向許可」のルールを作成しています。
まあ、最後のは少し嘘ですが、イメージはそんな感じです。このルールを書かない状態が存在するのか謎です。
最後の二つがSNAT(sourceに基づくアドレス変換)とDNAT(destinationによるアドレス変換)です。
この二つがルーターとしては肝ですかね。まあ、シンプルですけど。
MASQUERADEを使った書き方もありますが、PPP接続のように動的にIPが変わる場合に使うものです。
そうでない場合はSNATやDNATを使います。(と、manに書いてある)
これで、プライベートネットワークからインターネットへの接続が許可されます。
さらに、80番ポートへのアクセスはプライベートネットワーク内のホストの80番に転送されるわけですね。
同じように書いていけば、転送するポートやホストを増やせます。
まあ、そんなルール、書かずに済んだほうが幸せな気もしますが。
木曜日, 2月 23, 2006
daemontools
qmailやdjbdns(tinydnsやdnscache)を動かすにはdaemontoolsが必要です。
これが結構使えます。
以前、tinydnsも使いたくないなんて書いてたくせに、人って結構いい加減。
早い話、D. J. Bernsteinさんのものだけでなく自分の作ったスクリプトにも使おう、という話。
そうすれば、異常終了してしまっても勝手に再起動されるのでいい感じです。
起動や停止に関するツールも流用できるし、ログの処理なんかもおまかせ。
こういうのって自分で作るのは面倒ですからね。
使い方は、
1. 適当なディレクトリを作る
2. そこにrunスクリプトを作成
と、他のソフトをまねます。
runスクリプトの中身も簡単です。
たとえば、特定のportをforwardしたいときには、
--------------------------------
#!/bin/sh
exec 2>&1
ssh -gN -b 192.168.1.1 -l username -i /home/username/.ssh/id_dsa -L 10001:localhost:110 remote.host
--------------------------------
みたいにできます。
ホスト間の接続が不安定で、たまにsshが終了しても、自動で再起動。こりゃ便利だ。
これが結構使えます。
以前、tinydnsも使いたくないなんて書いてたくせに、人って結構いい加減。
早い話、D. J. Bernsteinさんのものだけでなく自分の作ったスクリプトにも使おう、という話。
そうすれば、異常終了してしまっても勝手に再起動されるのでいい感じです。
起動や停止に関するツールも流用できるし、ログの処理なんかもおまかせ。
こういうのって自分で作るのは面倒ですからね。
使い方は、
1. 適当なディレクトリを作る
2. そこにrunスクリプトを作成
と、他のソフトをまねます。
runスクリプトの中身も簡単です。
たとえば、特定のportをforwardしたいときには、
--------------------------------
#!/bin/sh
exec 2>&1
ssh -gN -b 192.168.1.1 -l username -i /home/username/.ssh/id_dsa -L 10001:localhost:110 remote.host
--------------------------------
みたいにできます。
ホスト間の接続が不安定で、たまにsshが終了しても、自動で再起動。こりゃ便利だ。
火曜日, 2月 21, 2006
apt-get で GPG のエラー
ちょっといまさら感がありますが、年を越してからapt-getでエラー(ほんとは警告)が出るようになりました。
W: GPG error: http://debian.cn99.com testing Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 010908312D230C5F
W: GPG error: http://security.debian.org testing/updates Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 010908312D230C5F
W: You may want to run apt-get update to correct these problems
こんなエラーです。
これ、Debianのtestingバージョンを使ってる人はでてしまうんですね。
というのも、Debianのtestingバージョンでは毎年GPG鍵の期限が来てしまうので、更新しないといけないんです。
くどくど2回もtestingと書いているのは、これ、stableでは起きないんですね。
で、リンクにもありますが、
wget http://ftp-master.debian.org/ziyi_key_2006.asc
を実行して、新しい2006年用の鍵を取ってきます。
これを、
apt-key add ziyi_key_2006.asc
でインストールすればOK。
これで後は安心してaptが使えるようになります。
W: GPG error: http://debian.cn99.com testing Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 010908312D230C5F
W: GPG error: http://security.debian.org testing/updates Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 010908312D230C5F
W: You may want to run apt-get update to correct these problems
こんなエラーです。
これ、Debianのtestingバージョンを使ってる人はでてしまうんですね。
というのも、Debianのtestingバージョンでは毎年GPG鍵の期限が来てしまうので、更新しないといけないんです。
くどくど2回もtestingと書いているのは、これ、stableでは起きないんですね。
で、リンクにもありますが、
wget http://ftp-master.debian.org/ziyi_key_2006.asc
を実行して、新しい2006年用の鍵を取ってきます。
これを、
apt-key add ziyi_key_2006.asc
でインストールすればOK。
これで後は安心してaptが使えるようになります。
木曜日, 2月 16, 2006
水曜日, 2月 08, 2006
GmailのChat機能
気がついたらGmailが更新されてました。
Google Talkでの会話をGmailのアカウントに保存できます。
試してみると、ちゃんと保存されてました。当たり前か。
どこのパソコンでChatしても会話の記録がばらばらに別れたりしなくていいですね。
MSNなんかだと、パソコンごとに保存されるのでまとめる気にもならないですし。
これで後は、友達を作るだけ。
Google Talkでの会話をGmailのアカウントに保存できます。
試してみると、ちゃんと保存されてました。当たり前か。
どこのパソコンでChatしても会話の記録がばらばらに別れたりしなくていいですね。
MSNなんかだと、パソコンごとに保存されるのでまとめる気にもならないですし。
これで後は、友達を作るだけ。
登録:
投稿 (Atom)
