Mazn.net

やってみて 調べてみて 苦労しなけりゃ 箱は動かじ

iptablesでポートフォワーディング

      2013/07/15

通常Linuxのデフォルトはパケットのフォワーディングが無効になっているので、まずは有効にします。

# echo 1 > /proc/sys/net/ip_forward

これはOSを再起動すると戻ってしまうため、恒久的に有効にするには/etc/sysctl.confに以下を追記します。

 net.ipv4.ip_forward=1

ここでは、SSHのフォワーディングを例に説明します。以下のようなサーバ・ネットワーク構成だとします。

接続元端末     10.1.1.200
設定対象サーバ  10.1.1.1, 192.168.0.1
SSHサーバIP   192.168.0.2

まずは端末から対象サーバに入ってくるパケットをSSHサーバにDNATでフォワーディングします。待ち受けポートは5555とします。

# iptables -t nat -A PREROUTING -p tcp --dst 10.1.1.1 --dport 5555 -j DNAT --to-destination 192.168.0.2:22

SSHサーバのデフォルトゲートウェイが設定対象サーバになっていれば、上記だけの設定で動くのですが、なっていない場合や、接続元端末とSSHサーバが同一のセグメントにあると、戻るパケットが設定対象サーバを経由しないためうまく動きません。

よって、SSHサーバに出て行くパケットの送信元を設定対象サーバのIPに書き換えます。

# iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.2 --dport 22 -j SNAT --to-source 192.168.0.2

設定対象サーバに戻ってきたパケットは自動的に逆DNATされるため、以上で正常に動くはずです。

参考 : http://www.asahi-net.or.jp/~AA4T-NNGK/ipttut/output/dnattarget.html

 - IT技術, サーバ構築 ,

336px

Message

メールアドレスが公開されることはありません。

  関連記事

no image
ディスクイメージを直接マウントする@Linux

以前、ディスクイメージファイルをkpartxを使ってマウントする方法を紹介しまし …

no image
gmailでフィルタリング転送した時メールは受信トレイに残るの?

gmailの基本転送機能は全てのメールをあるアドレスに転送しますが、フィルタを用 …

no image
RDO使ってOpenStack Pikeインストール@CentOS7

RDO を使ってOpenStack Pikeをallinoneでインストールした …

no image
vimでシンタックスハイライトの関連づけ拡張子を追加する@CentOS 5.3

vimで.shの拡張子を開くと、シェルの構文がハイライトされるし、.c を開けば …

no image
PAM認証でのchroot

サーバのセキュリティを確保するためにchrootを使用する方法がありますが、サー …

no image
rubyの文字コードについて考える

rubyでは、1.6以降漢字コードを特別に解釈しなくなったようです。 maznは …

no image
オフラインファイルで特定のファイルの同期ができない

Windowsにはオフラインファイルという機能があります。この機能を用いることで …

no image
Windows 10のスタートメニュー整理

Windows 7では、スタートメニューのフォルダを右クリックしてフォルダを開く …

no image
パスワードの有効期限と、アカウント有効期限@RHEL5

パスワードのデフォルト有効期限は “/etc/login.defs& …

no image
pptpサーバの構築@CentOS 5.8

pptpサーバ構築時のメモ書き。 # yum install ppp pptp …