Q&A
ローカルネットPCはwindows10ですか?
その場合そのPCはnslookupコマンドでDNS参照できていますか?(例のようにIPアドレスを取得できますか?)
実行例
C:\>nslookup www.google.co.jp
サーバー: UnKnown
Address: 192.168.1.1
権限のない回答:
名前: www.google.co.jp
Address: 172.217.27.67
C:\>
debianにおけるiptablesを用いたルーター化
みなさん、はじめまして。
DebianをインストールしたPCをルータ化として使いたいのですが、ローカルネット側から外の世界(インターネット)へ行けません。
解決策やここが問題じゃない?といった部分ありましたら、お教え願います。
以下に詳細を記載しますので、足りない部分ありましたら補足します。
--以下、現状。
・ルータPCからはインターネット閲覧可能(googleやyoutube等)
→ルータPCの設定は完了?
・ローカルネット下のPCからはルータPCにpingは飛ぶ(eth1,eth0共に)
→pingが飛ぶのに外の世界に行けないのが不思議
・ローカルネット下のPCからインターネットは閲覧不可
→ローカルネット下のPCからインターネットを閲覧しようとすると、「ホストを解決しています」(Google Chrome使用時)と出ます。DNSサーバなのかとも思います。
2020/10/08追加
肝心のどうやって外の世界に行くかを記載していませんでした。
iptablesのPOSTROUTINGを用いてローカルネットPCのIPアドレスをグローバルネットのIPアドレス?に変換して、外の世界に行きたいが、行けないということです。
ローカルネット下のPCはすべてLinux及びDebian系です。WindowsPCは接続しません。
コメント?にて、iptablesの設定不良だとわかりました。
1つ、私が考えている、接続できない原因があります。
学校の規則でF-secureというウィルス対策ソフトをルータ化PCにインストールしなければ接続を許可してもらえません。
先生はF-secureは関係無いと言ってましたが、そのあたりはどうなんでしょうか。
※F-secureの設定で信頼済みインターフェースとしてeth0,eth1は開放しています。
ルーターとして使用するPC
Debian8.11
/etc/network/interfacesにiptables設定を記載
/etc/resolv.confにDNSネームサーバのIPアドレスを記載
設計図
ローカルネットPC --有線接続-- (eth0)ルータPC(eth1) --有線接続-- 外部ネットワーク
/etc/network/interfacesの記載内容
%eth1がグローバル側インターフェース名
%eth0がローカル側インターフェース名
allow-hotplug eth1
iface eth1 inet dhcp #DHCPで接続とのルール
up ifconfig eth1 mtu 1454
dns-nameservers 8.8.8.8 #公開するため8.8.8.8に変更しています
dns-search example.jp #公開するためexampleに変更しています
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 1.2.3.0/24 -o eth1 -j MASQUERADE
auto eth1
allow-hotplug eth0
iface eth0 inet static
up ifconfig eth0 mtu 1454
address 1.2.3.1
netmask 255.255.0.0
network 1.2.3.0
broadcast 1.2.3.255
auto eth0
/etc/resolv.confの記載内容
domain example.jp
search example.jp
nameserver 〇〇〇.〇〇〇.〇〇〇.〇〇〇
nameserver 〇〇〇.〇〇〇.〇〇〇.△△△
※nameserver には下位アドレスが2種類書かれています。
###ルータに接続するPCの設定
ルータに接続するPCにおいてはゲートウェイ設定などは完了しています。
ただ、疑問点として、ローカルネット下のPCのネームサーバーについては統一したほうが良いのでしょうか?
回答未満ですのでコメントのみですが、
> →ローカルネット下のPCからインターネットを閲覧しようとすると、「ホストを解決しています」(Google Chrome使用時)と出ます。DNSサーバなのかとも思います。
まずはDNSの前に、eth0からeth1へのルーティング(NAT)の設定が問題なのだと思います。
> iptables -t nat -A POSTROUTING -s 1.2.3.0/24 -o eth1 -j MASQUERADE
あたりから疑ってみてはいかがでしょう。指定が足りないかまたは不適かもしれません。確認としてはインターネット側の(外の)サーバーへのアクセスに名前解決を必要としないIPアドレス直打ちでアクセスできるようになることが第一条件な気がします。(DN使うのはその後で)
IPアドレス直打ちでインターネット(外)に行けないならおそらくNATの設定が原因、行けるならDNSの設定が原因、だと考えます。
dodox86様のコメントの通り、NATの問題なのかDNSの問題なのか、切り分けましょう。
ローカルネット下のPCから、1.1.1.1にトレースルートしてみてください。到達できるか、ルータPCまでしか到達できないか、どちらでしょうか?
お2人、コメントありがとうございます。
上から順に答えていきます。
ローカルネット下のPCはUbuntuもしくはDebianです。
nslookupコマンドを打った際には
;; connection timed out; no servers could be reached との表示です。
1.1.1.1にトレースルートした際にはルータまでしか到達できませんでした。
もちろん1.1.1.1にpingも飛ばなかったです。
ということは、NATが問題ということで、ちょっと設定見直してみます。
どこか、私の設定でお気づきの点あればご教授お願いします。
質問の追記を読んで:
> 先生はF-secureは関係無いと言ってましたが、そのあたりはどうなんでしょうか
関係ないかもしれないけど、絶対とは言えません。ネットの監視をするようなセキュリティ製品が導入されているようなケースではそのドライバー内で何をしているか分からないので、「関係あるかもしれない。」と疑ってかかり、その不安要素を排除(要は、停める)して問題の切り分けをすることがトラブルシューティングの定石です。「関係ないはず」として実はそれが原因であったら、時間の浪費です。
どうしてもF-Secureの稼働無しにインターネットに出ていったらまずいのであれば、検証時のみ、eth1に対抗でPCをつないでしまい、それをインターネット上のサーバー扱いにするなどしてみてはいかがでしょう。(できるのであれば)
一応確認ですが、ルータPCからの1.1.1.1へのトレースルートも確認お願いします。学校ネットワークの出口でping禁止している可能性を排除したいです。また、学校ネットワーク内にpingターゲットになるアドレスがありますでしょうか?まずはそこまでの疎通を目指しましょう。
>>検証時のみ、eth1に対抗でPCをつないでしまい、それをインターネット上のサーバー扱いにする
学校側はMACアドレスで接続を判断している場合、他PCを仮サーバとすることは可能でしょうか?
自分はMACアドレス=固有という認識ですので、そこを抜ける方法があれば、ご教授願います。
>>ルータPCからの1.1.1.1へのトレースルートも確認お願いします
traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 60 byte packets
1 xxx.xx.xxx.xxx (xxx.xx.xxx.xxx) 0.644 ms 0.486 ms 0.381 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 one.one.one.one (1.1.1.1) 16.146 ms 16.130 ms 15.982 ms
このような表示がかえってきます。
これは内部を秘密にしているがために***で表示されているんですかね。。。
>@質問者 mashi0923さん
> 学校側はMACアドレスで接続を判断している場合、他PCを仮サーバとすることは可能でしょうか?
私が勝手に想像していたのは、手元にPCがあって、PC自体をいじくり回せるような環境でした。eth1のNICに直接LANケーブルをつなぎ、その先に自前のハブかもしくは直接PCをつないでほぼピアツーピアの環境にしてしまい、つないだ先のPCにインターネットっぽい静的IPアドレスを割り振ってしまえば、それっぽい疑似環境が作れるのではないか、と考えた次第です。管理されたサーバー室のラックにマシンが収容されていて、接続をかんたんに変更できないようであればその手は使えません。MACアドレスをちゃんと管理しているということは、それなりの厳格な環境なのでしょう。そうであれば抜ける方法はありません。たぶん。
回答3件
0
構成を整理させてほしいのですが、ここまでのやり取りを見ると以下ではないかと思うのですがいかがでしょうか。
[①ローカルネットPC] --- [②ルータPC] --- [③学校のルータ] --- (④インターネット)
そのうちmashi0923さんが自由にできるのは①と②のみ。
事象としては①→④の間において、Webや動画の閲覧はできるがpingが通らない。
この前提で話を進めます。
mashi0923さんが[②ルータPC]を適切に設定しているということであれば、まずは[②ルータPC]にログインして、そこからインターネットに向かってpingを打ってみてはどうでしょうか。
ここまでのやり取りでDNSサーバがどこにあるのか読み取れなかったので、念のためpingの宛先はIPアドレスで指定します。
それでpingが通らなければ、[③学校のルータ]でping(ICMP)を遮断していると思います。
[②ルータPC]発のpingが通るようならば問題は[②ルータPC]のフィルタ周りではないかと思います。
まずは切り分けをされてみてはいかがでしょうか。
投稿2020/12/11 01:56
総合スコア1894
0
以下でどうでしょうか?
$ sudo vi /etc/sysctl.conf # 以下のように変更 #net.ipv4.ip_forward=1 ↓ コメントを取る net.ipv4.ip_forward=1 $ sudo iptables -A POSTROUTING -t nat -s 1.2.3.0/24 -d 0.0.0.0/0 -j MASQUERADE
投稿2020/10/07 23:09
総合スコア11701
0
あなたの回線のルータはどこにあるでしょうか。
そいつの設定しなければなりません
投稿2020/10/07 14:49
総合スコア87749
そのルータをDebianをOSとするPCで行おうとしていたのです。
言葉足らずで申し訳ありません。
設定というのは具体的にどこをどう書き換えるのでしょうか?
あなたんちの回線はなんですか?
あなたんちにその回線が入るところには、モデムとルータがはいってるはずですよ
そうじゃないと、あなたのPCでインターネットはみれません
度々すいません。
今回接続しているグローバル側は学校のネットでして、そちら側の設定は既に申請・設定済です。
なので、申請したPCからはインターネットが閲覧できると考えていたのですが、間違ってますでしょうか?
私自身の考えとしてはルータPCのiptablesの設定がうまく行っておらず、ローカルネット側のPCから外の世界に行けてないのでは無いかと思い質問した次第です。
設計図に書いてある通りなら、モデムやONUは必要ないですし、今回あなたが導入するPCをルーターとして動作させるという考えで合っていますよ。
あなたの学校につながってるルータに、あなたのパソコンを申請して通信を許可するようになってますね。
それはあくまで、あなたのPCにネットが繋がるようにする一方通行の接続でしかありません
PCからインターネットへは自由に繋がりますが、インターネットからPCは、通信応答分しか開けられません。
ではその次に、学校に申請して、あなたのPCにインターネットからの通信の全てを開放するように申請してください。
#おそらく許可されないでしょうけど
y_waiwaiさんがすごい人であることはプロフィールを見てわかりました。
ですが、なんといいますか、私の言葉不足だと思いますが、質問している内容がうまく伝わっていないような気がします。
ルータPCに接続されているローカルPCがルータPCを介してグローバルの世界に行きたいが行けないという内容です。
学校に申請するのはルータ機のみでOKなので、今後、学校に申請する内容は無いかと自分は考えてますがいかがでしょう?
> y_waiwai
ご質問文に「POSTROUTING」という文言がありNAT前提のご質問と理解しています。
そうであったとしても、指摘している事項は必要ということでしょうか?
あなたの回答
tips
プレビュー
