Q&A
外部から xxx.xxx.xxx.90/29 へ到達可能ですか?
ルーターや サーバーで、Firewall 等で、ブロックしていることはありませんか?
環境
サーバ
centOS7.4
enp0s25:xxx.xxx.xxx.90/29
enp2s0:192.168.1.18/24
ルータ:xxx.xxx.xxx.89/29
apacheサーバを公開したくローカルIP、グローバルIPを設定しています。
サーバに直接グローバルIPを振っているため、ルータでのNAT変換は行っておりません。
http://ローカルIP/index.html OK
http://グローバルIP/index.html NG
このような状況です。
当初はapacheの設定かと思っていましたが、ネットワーク周りの問題のような気がします。
内部→外部はping応答がありますが、外部→内部ではping応答がありません。
もちろんルータにサーバまでのicmpは許可しています。
アダプタの優先順位とか経路設定とかそのあたりかと思いましたが、原因がわからないので
ご回答お願いします。
netstat -an | grep 80
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
ping 8.8.8.8 -I enp0s25 ←内部から外部へはpingが通ります。
PING 8.8.8.8 (8.8.8.8) from xxx.xxx.xxx.90 enp0s25: 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=56 time=16.3 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=56 time=13.2 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=56 time=15.3 ms
ip route
default via xxx.xxx.xxx.89 dev enp0s25 proto static metric 100
default via 192.168.1.254 dev enp2s0 proto static metric 101
xxx.xxx.xxx.88/29 dev enp0s25 proto kernel scope link src xxx.xxx.xxx.90 metric 100
192.168.1.0/24 dev enp2s0 proto kernel scope link src 192.168.1.18 metric 101
#ip a
2: enp0s25: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
inet xxx.xxx.xxx.90/29 brd xxx.xxx.xxx.95 scope global noprefixroute enp0s25
valid_lft forever preferred_lft forever
サーバにグローバルIPを設定している場合、ISPとの接続方式(ルータの設定含め)が重要になってきます。
これをどのように実現されているかを記載すればより良い回答が得られると思います。
ISPとは固定IP8個の契約です。xxx.xxx.xxx.88/29
ルータはヤマハRTX1200で関係しそうなところだけ抜粋します。
LAN1にはPC側の割り当てているのでNAT対象を限定しています。
フィルタは全てpassにしてみたりもしましたがダメでした。
ip route default gateway pp 1
ip lan3 address xxx.xxx.xxx.89/29
pp select 1
ip pp nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 xxx.xxx.xxx.89
nat descriptor address inner 1 192.168.1.1-192.168.1.254
サーバにグローバルIPを付与していることからUnnumberedで設定されているかと思いますが、公開サーバはLAN3以下に接続しているとの理解で宜しいでしょうか?
config に LAN3 にグローバルIPアドレスを割り当てている点からすると LAN3 を DMZ にしている Yamaha の設定例の構成でしょうか。
[ 自社サーバーを公開(複数の固定グローバルIPアドレス / DMZセグメント : LAN3) : コマンド設定 ]( https://network.yamaha.com/setting/router_firewall/internet/dmz_server/multiple )
これをベースにしているのであれば、変更した点を記載してもらえると回答がつきやすいかもしれません。
まさしくyamahaの設定例通りです。
変更点はLAN1側のルーティングを書いた程度で
今回影響しそうな変更点はなくほぼ丸写しです。
となると、やっぱりサーバ側の設定が問題でしょうか。
サーバの設定です。
TYPE=Ethernet
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
NAME=enp0s25
UUID=
DEVICE=enp0s25
ONBOOT=yes
IPADDR=xxx.xxx.xxx.90
PREFIX=29
GATEWAY=xxx.xxx.xxx.89
DNS1=8.8.8.8
PROXY_METHOD=none
BROWSER_ONLY=no
firewalldとselinuxは止めています
回答2件
0
ベストアンサー
ルータ内部でのLAN1→LAN3間での問題だったようです。
全く別のNWからならば問題なく繋がりました(たぶん最初から)
投稿2019/02/27 08:22
退会済みユーザー
総合スコア0
0
xxx.xxxx.xxxx.88/29の固定グローバルIPアドレスを使用できるようにISPと契約してあるということですよね。
ルータでサーバまでのICMPは許可しているということですので、サーバ側でfirewalldやiptablesなどで
拒否されていないか確認してはどうでしょうか。
また、ルータの通信ログやtcpdumpを確認してどこまで通信が来ているかを確認するのもよいと思います。
投稿2019/02/25 01:26
総合スコア1140
ルータのログをとってみたところ記録されませんので、
サーバ側の設定が悪いような気がしてきました。
iptablesは入れておらず、firewalldはstopしています。
ルータはきちんとicmpを通す設定になっていますか?
コメントにある設定例では許可する設定になっていませんが。
下記のようにしています。LAN3までecho replyが届いているので、
サーバ側設定の問題と考えています。
ip lan3 address xxx.xxx.xxx.89/29
ip lan3 secure filter in 5000
ip lan3 secure filter out 5000
ip filter 1024 pass-log xxx.xxx.xxx.90 * icmp * *
ip filter 1030 pass-log * * icmp
ip filter 5000 pass-log * *
2019/02/27 09:17:17: LAN3 Passed at IN(5000) filter: ICMP xxx.xxx.xxx.90 > 8.8.8.8 : echo request
2019/02/27 09:17:17: PP[01] Passed at OUT(1024) filter: ICMP xxx.xxx.xxx.90 > 8.8.8.8 : echo request
2019/02/27 09:17:18: PP[01] Passed at IN(1030) filter: ICMP 8.8.8.8 > xxx.xxx.xxx.90 : echo reply
2019/02/27 09:17:18: LAN3 Passed at OUT(5000) filter: ICMP 8.8.8.8 > xxx.xxx.xxx.90 : echo reply
新しく質問したので、そちらも見て頂けると幸いです。
https://teratail.com/questions/176568
上記は内部→外部のpingのログです。
そちらはうまくいっているという質問内容ですので、外部→内部のログを提示ください。
あなたの回答
tips
プレビュー
