Q&A
最終目的は何でしょうか?固定IP側グループの特定の端末に対してUDPをNAPTして、他の端末がインターネットリソースに接続できる?でしょうか?また、configが動作の全てを物語ると思いますので、configを提示すればよりよい回答が得られるのではないでしょうか?(configを提示する場合はサイト依存のパラメータはマスクするのを忘れずに)
###前提・実現したいこと
フレッツ光で接続しているのですが、2つのプロバイダを契約しており、プライベートIP別にグループを分けて接続・利用しています。
その中の1つ(片方)のグループを固定IP(1つ)に変更しました。
Web等は見れるのですが、PC1台だけに対してはグローバルIPアドレス、特定のUDPポートを開放する設定をしています。
###発生している問題・エラーメッセージ
NATで内側のIPを設定するとその1台だけは問題ないですが、その方の端末ではWebがみれず。
IPマスカレードで設定するとPC1台だけがつながらず。
###該当のソースコード
ip route default gateway pp 1 filter 100000 gateway pp 2 filter 100001 gateway pp 2 filter 100002
ip lan1 address 192.168.0.2/24
ip lan1 secure filter in 100010 100011 100012 100013 100014 100015 100016 100017 100018 100019 100121 100020 500000
switch control use lan1 on
switch control use lan2 on
pp select 1
description pp プロバイダ1
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname プロバイダ情報
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in 200100 200200 500000
ip pp nat descriptor 1000
pp enable 1
pp select 2
description pp プロバイダ2
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname プロバイダ情報
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp address 固定IP
ip pp nat descriptor 2000
pp enable 2
ip filter 100000 pass 192.168.0.11-192.168.0.49 * * *
ip filter 100001 pass 192.168.0.50-192.168.0.59 * * *
ip filter 100002 pass 192.168.0.60-192.168.0.99 * * *
ip filter 100010 reject * * udp,tcp 135 *
ip filter 100011 reject * * udp,tcp * 135
ip filter 100012 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100013 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100014 reject * * udp,tcp netbios_ssn *
ip filter 100015 reject * * udp,tcp * netbios_ssn
ip filter 100016 reject * * udp,tcp 445 *
ip filter 100017 reject * * udp,tcp * 445
ip filter 100018 pass * * tcp * www
ip filter 100019 pass * * udp,tcp 46100-46122 *
ip filter 100020 pass * * udp,tcp * 1547
ip filter 100121 pass * 192.168.0.63 udp * 46100-46122
ip filter 200100 pass * 192.168.0.63 udp 46100-46122 46100-46122
ip filter 201100 pass * * udp * 1547,46100-46122
ip filter 201101 pass 固定IP * * 1547,46100-46122 *
ip filter 201102 pass * * udp * 1547,46100-46122
ip filter 500000 restrict * * * * *
ip filter dynamic 100100 * 192.168.0.63 udp
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
nat descriptor masquerade incoming 1000 reject
nat descriptor type 2000 masquerade
nat descriptor address outer 2000 固定IP
nat descriptor address inner 2000 auto
nat descriptor masquerade incoming 2000 discard
nat descriptor type 3000 nat
nat descriptor address outer 3000 ipcp
nat descriptor address inner 3000 auto
nat descriptor static 3000 500010 固定IP=192.168.0.60/28
nat descriptor masquerade incoming 3000 through
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.11-192.168.0.125/24 expire 3:00
dhcp scope bind 1 IP ethernet MAC
dns host lan1
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns server select 500002 pp 2 any . restrict pp 2
dns private address spoof on
upnp use on
upnp external address refer lan2
dashboard accumulate traffic on
dashboard accumulate nat on
###試したこと
IPマスカレードで固定IPを設定して、その他の設定をしないで稼働すると端末ではWebを見る事ができました。
###補足情報(言語/FW/ツール等のバージョンなど)
記述後、コマンドで流し込んだ後パネルから変更をかけたりして汚くなってまってます、すいません。
回答2件
0
設定を見る限りだと、あまり理解されておらず設定されているように見えます。
パケットフィルタの設定を見る限りだと、192.168.0.63 に対して、46100-46122 をフォワードしたいということでしょうか?
であれば以下の設定が必要になります。
1)静的グローバルIPからのNAPTの場合
nat descriptor type "num" masquerade
nat descriptor address outer "num" "静的グローバルIP"
nat descriptor masquerade static "num" "num" 192.168.0.63 udp 46100-46122
2)動的グローバルIPからのNAPTの場合
nat descriptor type "num" masquerade
nat descriptor address outer "num" ipcp
nat descriptor masquerade static "num" "num" 192.168.0.63 udp 46100-46122
※"num"は適宜番号を設定してください。
なお、以下の設定をすると「IPマスカレードで設定するとPC1台だけがつながらず。」となるのでしょうか?
私には意味が分かりかねる設定ですが、問題があるように見えます。
nat descriptor type 3000 nat
nat descriptor address outer 3000 ipcp
nat descriptor address inner 3000 auto
nat descriptor static 3000 500010 固定IP=192.168.0.60/28
nat descriptor masquerade incoming 3000 through
上記は何を意図して設定していますか?
またパケットフィルターについても、危険な設定が散見されます。
ip filter 100019 pass * * udp,tcp 46100-46122 *
全ての送信元/udp,tcp/46100-46122 から、全ての送信先の全てのポートに許可する。
ip filter 100020 pass * * udp,tcp * 1547
全ての送信元/udp,tcp から、全ての送信先udp,tcp/1547 を許可する。
ip filter 201100 pass * * udp * 1547,46100-46122
全ての送信元/udp/1547,46100-46122 から、全ての送信先udp/1547,46100-46122 を許可する。
など。
ホストを公開する設定にあたっては、外部からの攻撃を最小限に留めるため、パケットフィルタリングの設定は重要になりますので、よく理解されたうえで設定すべきと考えます。
投稿2016/10/21 03:59
総合スコア4309
0
ベストアンサー
NATで内側のIPを設定するとその1台だけは問題ないですが、その方の端末ではWebがみれず。
IPマスカレードで設定するとPC1台だけがつながらず。
これは、
NATで内側のIPを設定するとその1台だけは問題ないですが、その他の端末ではWebがみれず。
IPマスカレードで設定すると、グローバルIP・特定portを解放する設定にしたいPC1台だけ
の特定portへの接続がつながらず。
と言いたいのでしょうか?読み手に推測させず、正確に状況を説明することが早い解決への第一歩です。
まず前提として、外側の固定IPが1つの状態で複数台で同時に使いたいのであれば、
Port も使って変換する NAPT(IP マスカレード)で対応する必要があります。
何をしたいのかがいまいち具体的でないので断定はできませんが、とりあえず、
nat descriptor masquerade static 2000 500010 192.168.0.60 udp 46100
nat descriptor masquerade static 2000 500011 192.168.0.60 udp 46101
…
といった記述を足すことで、「固定IP」の UDP port 46100~宛ての通信を、
192.168.0.60のUDP port 46100~へフォワードすることが可能です。また、
特定のport番号についてはport番号を変更されると困るというだけの場合には、
nat descriptor masquerade unconvertible port 2000 udp 46100-46122
とすることで、特定の port 番号(udp 46100-46122)についてはport番号を
変換させないようにすることも可能です。
おそらくはこのあたりで対応できるのではないでしょうか。
投稿2016/10/21 00:34
総合スコア15
あなたの回答
tips
プレビュー
