特定の LAN IP でポート転送が機能しない

Question 1

IP ポリシールーティング。

CentOS サーバーを更新して 2 番目の NIC がパケットを受信および送信できるようにするために使用した同じ内容の 2 つの記述を見つけました。また、デュアル NIC/ゲートウェイを備えた別の同様のサーバーの更新にも成功しました。

http://jensd.be/468/linux/two-network-cards-rp_filter<-- 「ベストソリューション」セクションで IP ポリシーを設定し、rp_filter の値を変更しませんでした。この記事にはわかりやすい図も掲載されています。

http://www.microhowto.info/howto/ensure_symmetric_routing_on_a_server_with_multiple_default_gateways.html <--上記の例をさらにわかりやすくした追加例。

変更を永続的にしたい場合は、上記の最初のリンクの指示に従ってください。

私の例:

ip route add 99.88.77.66/24 dev eth0 table 1 (例: パブリック IP #1)
ip route add default via 99.88.77.1 テーブル 1 (例: パブリック IP #1 のゲートウェイ)
ip route add 10.10.10.0/24 dev eth1 table 2 (異なるネットワーク上の 2 番目の NIC)
ip route add default via 10.10.10.1 テーブル 2 (ASUS ルーターゲートウェイ)
IP ルールを 99.88.77.66/32 テーブル 1 から追加、優先度 100
10.10.10.4/32 テーブル 2 優先度 110 から IP ルールを追加
IPルートフラッシュキャッシュ

/24 は、IP のサブネットマスクに応じて変更される場合があります。

Answer

IP ポリシールーティング。

CentOS サーバーを更新して 2 番目の NIC がパケットを受信および送信できるようにするために使用した同じ内容の 2 つの記述を見つけました。また、デュアル NIC/ゲートウェイを備えた別の同様のサーバーの更新にも成功しました。

http://jensd.be/468/linux/two-network-cards-rp_filter<-- 「ベストソリューション」セクションで IP ポリシーを設定し、rp_filter の値を変更しませんでした。この記事にはわかりやすい図も掲載されています。

http://www.microhowto.info/howto/ensure_symmetric_routing_on_a_server_with_multiple_default_gateways.html <--上記の例をさらにわかりやすくした追加例。

変更を永続的にしたい場合は、上記の最初のリンクの指示に従ってください。

私の例:

ip route add 99.88.77.66/24 dev eth0 table 1 (例: パブリック IP #1)
ip route add default via 99.88.77.1 テーブル 1 (例: パブリック IP #1 のゲートウェイ)
ip route add 10.10.10.0/24 dev eth1 table 2 (異なるネットワーク上の 2 番目の NIC)
ip route add default via 10.10.10.1 テーブル 2 (ASUS ルーターゲートウェイ)
IP ルールを 99.88.77.66/32 テーブル 1 から追加、優先度 100
10.10.10.4/32 テーブル 2 優先度 110 から IP ルールを追加
IPルートフラッシュキャッシュ

/24 は、IP のサブネットマスクに応じて変更される場合があります。

Question 2

まず、セットアップが機能しない理由を理解する必要があります。そのためには、何が起こるかを検討する必要があります。

「ケーブル」インターネット接続から接続試行が行われます。
NAT ルーターは宛先アドレスを変更し、マッピングテーブルエントリを設定します。
パケットがサーバーに到達し、応答が生成されます。
サーバーはルーティングテーブルで応答の宛先を検索し、パケットをデフォルトゲートウェイ (例: 「ADSL」インターネット接続) に送信します。
おそらく、パケットは偽の送信元アドレスを持つため破棄されます。パケットがクライアントに戻ったとしても、その送信元アドレスはクライアントが期待するものと一致しないため、クライアントはそれを偽物として破棄します。

何が問題なのかがわかったので、対処法を講じることができます。選択肢はいくつかあります。

オプション 1 は、サーバー上で「ポリシールーティング」を使用して、送信元 IP に基づいてトラフィックをルーティングすることです。これは、サーバーがサポートしている場合 (Linux の最新バージョンはサポートしています) に最適なオプションです。スタイルの答えLinux サーバー上でポリシールーティングを設定し、送信元アドレスに基づいてルーティングする方法について説明します。

オプション 2 は、ポリシールーティングを実行できるボックスにサーバーのデフォルトゲートウェイを指定することです。これにより、そのボックスは送信元 IP に応じてトラフィックを正しくルーティングできます。これは、サーバー OS がポリシールーティングをサポートしていない場合に役立つソリューションです。

オプション 3 は、NAT ボックスをポート転送するトラフィックに対してマスカレードにすることです。トラフィックの実際の送信元アドレスを隠すため、これは最後の手段のオプションと考えます。

Answer

まず、セットアップが機能しない理由を理解する必要があります。そのためには、何が起こるかを検討する必要があります。

「ケーブル」インターネット接続から接続試行が行われます。
NAT ルーターは宛先アドレスを変更し、マッピングテーブルエントリを設定します。
パケットがサーバーに到達し、応答が生成されます。
サーバーはルーティングテーブルで応答の宛先を検索し、パケットをデフォルトゲートウェイ (例: 「ADSL」インターネット接続) に送信します。
おそらく、パケットは偽の送信元アドレスを持つため破棄されます。パケットがクライアントに戻ったとしても、その送信元アドレスはクライアントが期待するものと一致しないため、クライアントはそれを偽物として破棄します。

何が問題なのかがわかったので、対処法を講じることができます。選択肢はいくつかあります。

オプション 1 は、サーバー上で「ポリシールーティング」を使用して、送信元 IP に基づいてトラフィックをルーティングすることです。これは、サーバーがサポートしている場合 (Linux の最新バージョンはサポートしています) に最適なオプションです。スタイルの答えLinux サーバー上でポリシールーティングを設定し、送信元アドレスに基づいてルーティングする方法について説明します。

オプション 2 は、ポリシールーティングを実行できるボックスにサーバーのデフォルトゲートウェイを指定することです。これにより、そのボックスは送信元 IP に応じてトラフィックを正しくルーティングできます。これは、サーバー OS がポリシールーティングをサポートしていない場合に役立つソリューションです。

オプション 3 は、NAT ボックスをポート転送するトラフィックに対してマスカレードにすることです。トラフィックの実際の送信元アドレスを隠すため、これは最後の手段のオプションと考えます。

特定の LAN IP でポート転送が機能しない

答え1

私の例:

答え2

関連情報