iptableの設定について。～SnortをIPSとしてInlineで動作させるための準備～

###前提・実現したいこと
こんばんは。

仮想マシンを使って、
snortがIPSとしてinlineで動作するネットワークを作ってみたいと思っています。
(参考ブログの記事= https://blog.rgm89s.com/archives/222)
その過程で、
iptableを使ったポートフォワーディングの問題にぶつかりました。

ブログの記事を例にとるならば、
記事の最初の方の「＊以下の環境を前提としています。」という部分の

＊ネット環境
＊内部Webサーバのデフォルトゲートウェイは「192.168.1.1」に設定されている物とします。
＊内部WebサーバでApache、Nginx等を用いたWebサイトが既に稼働している物とします。
Internet---------------------Snortサーバ---------------------内部Webサーバ
                eth0:210.130.0.1     eth1:192.168.1.1        eth0:192.168.1.2

という設定の
Snortサーバeth1と内部Webサーバeth0のアドレスをいつ、どこで、どのように決定すればいいのかが分かりません。

私の環境は、

概要= OS グローバルアドレス=xxx ローカルアドレス=xxx

グローバルにつながったルータA= ???(ポートフォワーディング可能) グローバルアドレス= 1.2.3.4　ローカルアドレス= 192.168.0.1
snortの仮想ゲストサーバB= CentOS グローバルアドレス=1.2.3.4 ローカルアドレス= 192.168.0.2　内部ネット用のローカルアドレス= ?(これをどう設定すればいいのかわからない)
内部ネットの仮想ゲストサーバC= Ubuntu グローバルアドレス=なし ローカルアドレス= なし　内部ネット用のローカルアドレス= ?(これをどう設定すればいいのかわからない)
仮想化ソフト= VirtualBox
仮想ホストPC= Windows ローカルアドレス = 192.168.0.3

として、
内部ネットのUbuntuサーバCのすべての通信を
snortで監視し、攻撃的な通信をドロップし、
ログを残し、メッセージを送るようにしたいと思っています。

このために必要な設定として、
snortサーバのeth0(a)をルータAとのパケットの送受信に使用して、
eth1をUbuntuとのパケットの送受信に使おうとしています。

Ubuntuのeth0(b)は、snortサーバのeth1につながり、
グローバルとの接点はほかに存在しないようにします。

つまり、ルータAのLAN上にはA,B,Windowsのみが接続されています。
そして、Bはブリッジ接続されています。

このとき、eth1とeth0(b)のアドレスをどのように設定すればいいのかが分かりません。
もうすこし具体的に言うならば、
なにかマシンやネットワークなどの環境に従ってアドレスを決定するのか(されるのか)、
それとも
思い付きでアドレスを決定していいのか(ex.eth1=1.2.4.8,eth0(b)=1.2.4.9)が
わかりません。

###補足情報
気を付けてはいるのですが、質問内容に不備があると思います。

なぜなら私にはネットワークとLinux関係の知識が殆どないからです。
作りながらの学習中です。
補足などは回答を受けてしていくつもりです。

知恵をお貸しいただきたければ幸いです。
よろしくお願いします。

行動規範の内容に同意します

回答1件

ベストアンサー

おそらく、以下のような構成になると思います。

Internet
    |
(Global IP)
[ルータ]
192.168.0.1
    |
    +-----------------+
    |    (bridge)     |
    |                 |
192.168.0.3        192.168.0.2
[Windowsホスト]    [Snort(B)]
                   192.168.77.2(例)
                      |
                  (内部ネットワーク)
                      |
                   192.168.77.4(例)
                   [Web(C)]

・ルータ(A) ポートフォワード設定
    Global IP:80 -> 192.168.0.2:80

・Snort(B) ネットワーク設定
    default gateway: 192.168.0.1
    eth0: 192.168.0.2/24   (VMware の bridge 側アダプター)
    eth1: 192.168.77.2/24 (VMware の内部ネットワーク側アダプター)

・Web(C) ネットワーク設定
    default gateway: 192.168.77.2
    eth0: 192.168.77.4/24 (VMware の内部ネットワーク側アダプター)
    ※eth1 かもしれません。VMware 側仮想マシンの設定によります。

192.168.77.2, 192.168.77.4 は例としてあげただけで、プライベートIPアドレスであれば 172.16.0.0/16, 10.0.0.0/8 から選んでもいいですし、VirtualBox ホスト側で内部ネットワークに割り当てられたネットワークアドレス(192.168.0.0/24 以外)が既に設定されているのであれば、それをそのまま利用できると思います。

投稿2018/04/16 15:30

TaichiYanagiya

総合スコア12193

kaisen

2018/04/17 00:36

TaichiYanagiyaさん、回答ありがとうございます。図が明快でわかりやすいです。さっそく試してきます。

kaisen

2018/04/17 01:22

経過報告です。 Snort(B)とWeb(C)の間でpingが通るようになりました！

kaisen

2018/04/17 03:17

成功です！ Snort(B)ではnmcli、Web(C)では/etc/network/interfacesを編集することでpingが通るようになりました。次に Snort(B)のiptablesとルールを編集することで Snort(B)にWindowsからアクセスすると、Web(C)のサイトが表示され、そのアクセスをSnort(B)でログ出力するようになりました。今後はこれを基本にして構築していくことにします。 TaichiYanagiyaさん、ありがとうございました。とても助かりました。もしまた機会がありましたらよろしくお願いします。

行動規範の内容に同意します