[centos-users 406] Re: rp-pppoe におけるunnumbered接続について

Takanori Jokura jo @ sijex.net
2007年 4月 17日 (火) 11:35:53 JST


こんにちわ
城です

NICは2枚でしょうか?


> 
> 
> ■ 事象
> 
> PPPoE認証は問題なくされているものの、/29で
> 貰っているIPアドレスのうち、1つしか使用できない。
> NATは有効になっているので、eth0側に繋いだネットワークから
> インターネット接続は問題なくできています。
> 
> 認証が通ったあと、ISPから172.17.0.0/29のIPアドレスが
> 払い出されたとして、例えばeth1のエイリアスでも、
> はたまたHUBを介した同一ネットワークのマシンでも、
> 172.17.0.2 以降のIPアドレスを割り振っても
> 通信を行うことができません。

NICは2枚でいけるのでしょうか?
我が家では、
unnumberedとして外部(回線終端装置)に接続するNIC(eth2 => ppp0)
プライベートネットワークのHUBに接続するNIC(eth1)
グローバルIPアドレスを割り振り、DMZを割り振る端末を接続するHBUに接続するNIC(eth0)
の3枚で動いております。

この際注意点として、
DMZからは gateway が eth0 となり、
DMZのパケットはeth0から入り、ppp0(eth2)へ抜けていくため、
/sbin/iptables -A FORWARD -i ppp0 -o eth0 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
この設定が必要になると思われます。

また、DMZからルータ機にアクセスするためには
/sbin/iptables -A INPUT -i eth0 -s aaa.bbb.ccc.ddd/29 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -d aaa.bbb.ccc.ddd/29 -j ACCEPT
(aaa.bbb.ccc.ddd は ISP からもらったIPアドレス)
の設定及び、
MTU Discovery Black Hole 対策で
/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
が必要になるかと思います。

上記試してみてください。
-- 
 ┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏┏
 ┏━━━┓
 ┃\_/┃Takanori Jokura
 ┗━━━┛     jo @ sijex.net




centos-users メーリングリストの案内