[centos-users 1209] Re: LINUXルーターを作った時の疑問について教えて下さい。

Takeshi Kusune kusune @ sfc.wide.ad.jp
2009年 6月 24日 (水) 01:37:17 JST


楠根です。

気分を害すというのかはわかりませんが、
間違った思い込みをしているのはほぼはっきりしているのに、
何をどう理解しているのかを正確に表現して下さらないので、
はっきり誤りを正すことができないのは歯がゆいですね。

しかもその思い込みがよくあるタイプの内容に見えるので、
放置しておくと拡大再生産されそうなのが余計に。

(2009/06/23 20:30), kozo さんは書きました:
> 『本当にglobal-ipでアクセスされているのだろうか?』
> という疑問を持っただけです。

ですから、その「global-ip」っていうのは何のことですか?
と聞いているのです。

はっきり示して下さらないので訂正のしようがないですが、
恐らく「global-ip」と「local-ip」という分類を前提に考えていることが、
正確な理解を妨げている一番の原因だと思いますよ。
その分類は恣意的かつ相対的なものにすぎません。

>  local-ip から 直接 global-ip へのアクセスは出来ませんよね。

「global-ip」や「直接」の定義がないのではっきり言えませんが、
恐らくそれは間違いで、正しくは「実装と構成、設定次第」であり、
かつ、どことどこの通信かによるでしょう。

> で、自local-ipを一度、MASQUERADE で global-ip に変換してから
> アクセスしていると考えています。

これも実装や構成、設定次第ですが、Linux で素直に設定した場合は間違いです。

>  GWにリバースプロキシを設置して内側からglobal-ip指定でアクセスしても
> ログにはlocal-ipでアクセスされた記録になるし...
> 結局、自分の考えの裏付けが得られませんでした。

そうでしょうね。

> (iptables の PREROUTING では全部GWのアドレスになる事は知っています)

それでは、以下の設定をしてからさまざまな通信を試し、
/var/log/messages や dmesg コマンドで結果を見るとよいでしょう。

<<設定>>
# sudo /sbin/iptables -t nat -I PREROUTING -p tcp --syn -j LOG --log-prefix 'nat:PREROUTING: '
# sudo /sbin/iptables -t nat -I POSTROUTING -p tcp --syn -j LOG --log-prefix 'nat:POSTROUTING: '
# sudo /sbin/iptables -t nat -I OUTPUT -p tcp --syn -j LOG --log-prefix 'nat:OUTPUT: '
# sudo /sbin/iptables -t filter -I INPUT -p tcp --syn -j LOG --log-prefix 'filter:INPUT: '
# sudo /sbin/iptables -t filter -I FORWARD -p tcp --syn -j LOG --log-prefix 'filter:FORWARD: '
# sudo /sbin/iptables -t filter -I OUTPUT -p tcp --syn -j LOG --log-prefix 'filter:OUTPUT: '

<<解除>>
# sudo /sbin/iptables -t nat -D PREROUTING -p tcp --syn -j LOG --log-prefix 'nat:PREROUTING: '
# sudo /sbin/iptables -t nat -D POSTROUTING -p tcp --syn -j LOG --log-prefix 'nat:POSTROUTING: '
# sudo /sbin/iptables -t nat -D OUTPUT -p tcp --syn -j LOG --log-prefix 'nat:OUTPUT: '
# sudo /sbin/iptables -t filter -D INPUT -p tcp --syn -j LOG --log-prefix 'filter:INPUT: '
# sudo /sbin/iptables -t filter -D FORWARD -p tcp --syn -j LOG --log-prefix 'filter:FORWARD: '
# sudo /sbin/iptables -t filter -D OUTPUT -p tcp --syn -j LOG --log-prefix 'filter:OUTPUT: '

ただし、通信の激しい場所にしかけるとログがすごいことになりますので、
そういう場合は特定の port 番号を指定するなどするとよいでしょう。
ただし、全てのコマンドで同じように指定することを忘れずに。
--
Takeshi Kusune <kusune @ sfc.wide.ad.jp>



centos-users メーリングリストの案内