質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.54%

外部通信用のNAT設定について

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 2,553

tk_flavor

score 102

あるクラウド環境でサーバ運用しています
今回、WEBサーバから決済用で通信するIPアドレスを1つに固定するために
決済サーバと通信する専用のサーバを作成することになりました
そこで、WEBサーバから決済用のドメイン宛てはNATサーバ経由で決済サーバと通信させるための
NAT設定についてご教示頂きたく思います

構成は下記のようになります
                                                            決済会社への通信
      Webサイトへの通信                                           ----->> [ 決済会社サーバ ]
       [ LoadBalance ]                                           |
             |                                                   |  
<外部I/F>        |                                    <外部I/F>
   [ WEBサーバ ] ----- > [ 決済接続ドメイン通信 ] ----- > [ NATサーバ ]
          <内部I/F>                            <内部I/F>

WEBサーバには外部接続用のI/Fと内部接続用のI/Fがあります
決済用通信はWEBサーバとNATサーバ通信は内部通信I/F同士で接続出来るようにして
NATサーバの外部通信I/Fから決済会社サーバと接続させる方向です

この時のNAT設定(iptabale設定)をどのようにすればいいのかあまり理解出来ておりませんので
ご教示頂けますと幸いです

よろしくお願い致します

要件が変わりましたので再度修正記載させて頂きます

サーバは内部IPを保持していますが、サーバ間通信はグローバルIPアドレス同士でしか接続しないことが条件です
構成は下記図のようになります

現時点、natサーバから決済用サーバへの80ポート通信は出来ています
WEBサーバから決済用サーバには80ポート接続は出来ない仕様です
WEBサーバからの決済接続ドメイン通信はNATサーバと接続させるための
WebサーバとNATサーバとの内部用VPCネットワークなどでのルーティング設定はされていません(しない方針です)

とりあえず、hostsファイル内で決済サーバの名前解決を詐称して、
route add -hostで決済サーバのグローバルIPアドレスはnatサーバのグローバルIP経由で
natサーバに接続させるようにしました。

いちよ、Webサーバからnatサーバまで接続出来るようにしましたが、
natサーバまで受けた決済サーバ宛先の通信を実際の外部決済サーバに転送させる設定について
ご教示いただけますでしょうか
ご回答頂きました設定を入れてみましたが、natサーバから決済サーバへの通信ができない状態となっています

構成は下記のようになります
                                                            決済会社への通信(GlobalIP 150.1.*.*)
      Webサイトへの通信                                           ----->> [ 決済会社サーバ ]
       [ LoadBalance ]                                           |
             |                                                   |  
<GlobalIP 50.151.*.*>        |                      <GlobalIP 50.161.*.*>           
   [ WEBサーバ ] ----- > [ 決済接続ドメイン通信 ] ----- > [ NATサーバ ]
<PrivateIP 10.200.0.2>                                     <PrivateIP 10.210.0.2>  


route情報は下記になります

Webサーバのroute情報

[root@web ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.200.0.1       0.0.0.0         255.255.255.255 UH    0      0        0 eth0
169.254.0.0     0.0.0.0          255.255.0.0     U     1002   0        0 eth0
0.0.0.0         10.200.0.1       0.0.0.0         UG    0      0       0  eth0

NATサーバのroute情報

[root@nat ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.210.0.1       0.0.0.0        255.255.255.255 UH    0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth0
0.0.0.0         10.210.0.1      0.0.0.0         UG    0      0       0  eth0
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

+1

nat テーブルの POSTROUTING チェインで SNAT または MASQUERADE すればいいです。

// 内部I/Fのネットワークアドレス : 192.168.1.0/24
// NATサーバの外部I/F デバイス名: eth0
// NATサーバの外部I/F IPアドレス: AAA.BBB.CCC.DDD

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source AAA.BBB.CCC.DDD
  または
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

以下の条件が必要です。

  • NATサーバの ip_forward が有効であること (sysctl -w net.ipv4.ip_forward=1)
  • NATサーバの iptables filter テーブルの FORWARD チェインで許可されていること
  • WEBサーバのルーティング設定で、決済会社サーバへの通信が NATサーバを経由すること

(2017/12/22) 18:49 追記

WEBサーバ(50.151.)と NATサーバ(50.155.)は別ネットワークなのですよね?
であれば、「決済接続ドメイン通信」ネットワーク向けのルーターが、それぞれのネットワークに用意されていると思います。
まずは、WEBサーバ <--> NATサーバ で「決済接続ドメイン通信」を経由して双方向に疎通できるようにルーティングする必要があります。

50.151.0.X : 「決済接続ドメイン通信」ネットワークの WEBサーバ側ゲートウェイ
50.155.0.Y : 「決済接続ドメイン通信」ネットワークの NATサーバ側ゲートウェイ


[root@web]# ip route add 50.155.0.0/24 via 50.151.0.X dev eth0

[root@nat]# ip route add 50.151.0.0/24 via 50.155.0.Y dev eth0

  ※ネットワークプレフィックスは /24 と仮定

(2017/12/22) 23:41 追記

ネットワーク構成がわからなくなりましたが、結局、WEBサーバ <--> NATサーバ の通信はデフォルトゲートウェイを経由しているのですか?

WEBサーバ <--> NATサーバ が疎通できていて、80番ポートのみでいいのであれば、NATサーバでは SNAT/MASQUERADE するのではなく、プロキシーを建てればいいのではないでしょうか?

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/12/25 12:04

    > こちらですが、WebサーバからのMACアドレス情報をNATサーバ側で自身のMACアドレス情報に書き換える作業が発生するとの事でいいでしょうか

    違います。
    WEBサーバからの送信パケットは、本来は以下のようになります。
    Source IP: WEBサーバのIP
    Destination IP: 決済サーバのIP
    Destination MAC: NATサーバMAC

    ところが、NATサーバと別ネットワークのため、ルータ/ゲートウェイに送ることになります。
    Source IP: WEBサーバのIP
    Destination IP: 決済サーバのIP
    Destination MAC: ルータ/ゲートウェイのMAC

    受けとったルータ/ゲートウェイは NATサーバのことは知らないので、決済サーバのIPに送ろうとします。
    結果、NATサーバには届きません。

    > それか、NATサーバ側のapacheのproxy設定で飛ばすしかないのでしょうか・・

    はい。
    Apache httpd でも squid でも、他のプロキシソフトウェアなどでも。

    キャンセル

  • 2017/12/25 13:44 編集

    度々すみません
    下記の設定でいけました

    ■接続元のWebサーバ側で
    1.route add -host [決済サーバIPアドレス] gw 接続元Webサーバのデフォルトゲートウェイ eth0
    2./etc/hostsファイルで決済サーバIPアドレスを中継する
      NATサーバのグローバルIPアドレスに偽装して記載
     [NATサーバのグローバルIPアドレス 決済サーバドメイン]

    ■中継するNATサーバ側で
    1."echo 1 > /proc/sys/net/ipv4/ip_forward"
    2.NAT側の10.210.0.2:80宛に届いたパケットを決済サーバIPアドレス:80へ投げる
      というPREROUTING-NATを書く
    3.「2.」では宛先アドレスを書き換えるだけなので、
      決済サーバは10.200.0.2という知らないサブネットから受信することになり、
      戻りのパケットは自分のデフォルトゲートウェイ10.200.0.1へ送りつける。
      これではマズいので、NATしたパケットの送信元アドレスを10.210.0.2に変更する
      決済サーバIPアドレス:80宛のパケットは、NATサーバの10.210.0.2という
      アドレスに付け替えてから送信する"というPOSTROUTING-NATルールを書く

    参考にしたページは
    https://mo.kerosoft.com/0203
    です

    いろいろお時間割いて頂きまして
    ありがとうございました

    キャンセル

  • 2017/12/25 15:06

    NATサーバで DNAT し(WEBサーバには決済サーバのように見せかけ)て決済サーバにポートフォワード、かつ、SNAT/MASQUERADE ですか。
    組み合わせたことはなかったです。
    実現できてよかったですが、プロキシの方が素直な気もします。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.54%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる