質問編集履歴

修正

2018/09/08 14:57

投稿

minsuke54

スコア4

title CHANGED Viewed

File without changes

body CHANGED Viewed

@@ -14,7 +14,7 @@
 また、この[リンク](http://kazmax.zpp.jp/cmd/i/iptables.8.html)のownerモジュール一覧にある、「--cmd-owner」により、squidコマンド自体をルーティング対象にしました。しかし、ルート変更以前にproxy接続ができません。
-firewalldの設定は、proxynet,というzone名を利用し、以下の結果が得られています。
+firewalldの設定は、proxynet,rescuenetという2つのzoneを利用し、以下の結果が得られています。
 ```
 root@raspberrypi:/etc/firewalld# firewall-cmd --get-active-zone
 proxynet
@@ -22,9 +22,7 @@
   sources: 192.168.0.0/24
 rescuenet
   interfaces: rescue-eth
 ```
 squidコマンドに対するルートテーブル変更
 ```
 main_eth_ip=$(ip addr show main-eth|grep -v inet6|awk '/inet/ {print $2}'|cut -d/ -f1) &&
@@ -36,7 +34,7 @@
 RT_TBL_FILE=/etc/iproute2/rt_tables
 RT_TBL_STR="$proxy_route_tbl_number $proxy_route_tbl"
 if [ -z "$(cat $RT_TBL_FILE|grep -a $RT_TBL_STR)"  ]; then
-   echo $RT_TBL_STR >> RT_TBL_FILE
+   echo $RT_TBL_STR >> $RT_TBL_FILE
 fi
 main_eth_met=203 &&
 proxy_eth_met=202 &&
@@ -47,8 +45,7 @@
 ip route add table $proxy_route_tbl 192.168.1.0/24 dev proxy-eth proto kernel scope link src $proxy_eth_ip metric $proxy_eth_met　&&
 ##firewalldの設定 &&
 firewall-cmd --zone=proxynet --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" accept' --permanent &&
-firewall-cmd --zone=proxynet --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="squid" mark set="1"' --permanent &&
+firewall-cmd --zone=proxynet --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="squid" mark set="1"' --permanent
 # ipコマンド,firewalld 初期化用
 ip rule  del fwmark 1 table $proxy_route_tbl &&
 ip route del table $proxy_route_tbl default via 192.168.0.1 dev main-eth src $main_eth_ip metric $main_eth_met &&
@@ -56,7 +53,7 @@
 ip route del table $proxy_route_tbl 192.168.0.0/24 dev main-eth proto kernel scope link src $main_eth_ip metric $main_eth_met &&
 ip route del table $proxy_route_tbl 192.168.1.0/24 dev proxy-eth proto kernel scope link src $proxy_eth_ip metric $proxy_eth_met &&
 firewall-cmd --zone=proxynet --remove-rich-rule='rule family="ipv4" source address="192.168.0.0/24" accept' --permanent &&
-firewall-cmd --zone=proxynet --remove-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="squid" mark set="1"' --permanent
+firewall-cmd --zone=proxynet --remove-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="squid" mark set="1"' --permanent
 ```
 また、変更後のip route,iptables(firewalldは内部的にはiptablesを利用)の設定は、

修正

2018/09/08 14:57

投稿

minsuke54

スコア4

title CHANGED Viewed

File without changes

body CHANGED Viewed

@@ -12,42 +12,49 @@
 eth1 -> proxy-eth
 回復nic : rescue-eth
-また、この[リンク](http://kazmax.zpp.jp/cmd/i/iptables.8.html)のownerモジュール一覧にある、「--cmd-owner」により、squidコマンド自体をルーティング対象にしました。しかし、proxy接続によるルート変更以前にproxy接続自体ができません。
+また、この[リンク](http://kazmax.zpp.jp/cmd/i/iptables.8.html)のownerモジュール一覧にある、「--cmd-owner」により、squidコマンド自体をルーティング対象にしました。しかし、ルート変更以前にproxy接続ができません。
-firewalldの設定は、proxynetというzone名を利用し、以下の結果が得られています。
+firewalldの設定は、proxynet,というzone名を利用し、以下の結果が得られています。
 ```
 root@raspberrypi:/etc/firewalld# firewall-cmd --get-active-zone
 proxynet
-  interfaces: eth0
+  interfaces: main-eth
   sources: 192.168.0.0/24
+rescuenet
+  interfaces: rescue-eth
 ```
-squidコマンドに対するルーティングテーブル変更コード
+squidコマンドに対するルートテーブル変更
 ```
-eth0_ip=$(ip addr show eth0|grep -v inet6|awk '/inet/ {print $2}'|cut -d/ -f1) &&
+main_eth_ip=$(ip addr show main-eth|grep -v inet6|awk '/inet/ {print $2}'|cut -d/ -f1) &&
-eth1_ip=$(ip addr show eth1|grep -v inet6|awk '/inet/ {print $2}'|cut -d/ -f1)
+proxy_eth_ip=$(ip addr show proxy-eth|grep -v inet6|awk '/inet/ {print $2}'|cut -d/ -f1) &&
 proxy_route_tbl=proxygw &&
 proxy_route_tbl_number=201 &&
 echo 1 > /proc/sys/net/ipv4/ip_forward &&
 ##ipコマンドによる一連の設定 &&
+RT_TBL_FILE=/etc/iproute2/rt_tables
-echo "$proxy_route_tbl_number $proxy_route_tbl" >> /etc/iproute2/rt_tables &&
+RT_TBL_STR="$proxy_route_tbl_number $proxy_route_tbl"
+if [ -z "$(cat $RT_TBL_FILE|grep -a $RT_TBL_STR)"  ]; then
+   echo $RT_TBL_STR >> RT_TBL_FILE
+fi
+main_eth_met=203 &&
+proxy_eth_met=202 &&
 ip rule  add fwmark 1 table $proxy_route_tbl &&
-ip route add table $proxy_route_tbl default via 192.168.0.1 dev eth0 src $eth0_ip metric 203 &&
+ip route add table $proxy_route_tbl default via 192.168.0.1 dev main-eth src $main_eth_ip metric $main_eth_met &&
-ip route add table $proxy_route_tbl default via 192.168.1.1 dev eth1 src $eth1_ip metric 202 &&
+ip route add table $proxy_route_tbl default via 192.168.1.1 dev proxy-eth src $proxy_eth_ip metric $proxy_eth_met &&
-ip route add table $proxy_route_tbl 192.168.0.0/24 dev eth0 proto kernel scope link src $eth0_ip metric 203 &&
+ip route add table $proxy_route_tbl 192.168.0.0/24 dev main-eth proto kernel scope link src $main_eth_ip metric $main_eth_met &&
-ip route add table $proxy_route_tbl 192.168.1.0/24 dev eth1 proto kernel scope link src $eth1_ip metric 202 &&
+ip route add table $proxy_route_tbl 192.168.1.0/24 dev proxy-eth proto kernel scope link src $proxy_eth_ip metric $proxy_eth_met　&&
 ##firewalldの設定 &&
 firewall-cmd --zone=proxynet --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" accept' --permanent &&
 firewall-cmd --zone=proxynet --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="squid" mark set="1"' --permanent &&
 # ipコマンド,firewalld 初期化用
 ip rule  del fwmark 1 table $proxy_route_tbl &&
-ip route del table $proxy_route_tbl default via 192.168.0.1 dev eth0 src $eth0_ip metric 203 &&
+ip route del table $proxy_route_tbl default via 192.168.0.1 dev main-eth src $main_eth_ip metric $main_eth_met &&
-ip route del table $proxy_route_tbl default via 192.168.1.1 dev eth1 src $eth1_ip metric 202 &&
+ip route del table $proxy_route_tbl default via 192.168.1.1 dev proxy-eth src $proxy_eth_ip metric $proxy_eth_met &&
-ip route del table $proxy_route_tbl 192.168.0.0/24 dev eth0 proto kernel scope link src $eth0_ip metric 203 &&
+ip route del table $proxy_route_tbl 192.168.0.0/24 dev main-eth proto kernel scope link src $main_eth_ip metric $main_eth_met &&
-ip route del table $proxy_route_tbl 192.168.1.0/24 dev eth1 proto kernel scope link src $eth1_ip metric 202 &&
+ip route del table $proxy_route_tbl 192.168.1.0/24 dev proxy-eth proto kernel scope link src $proxy_eth_ip metric $proxy_eth_met &&
 firewall-cmd --zone=proxynet --remove-rich-rule='rule family="ipv4" source address="192.168.0.0/24" accept' --permanent &&
 firewall-cmd --zone=proxynet --remove-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="squid" mark set="1"' --permanent
 ```
@@ -57,16 +64,18 @@
 ip routeの変更後の設定
 ```
 root@raspberrypi:/# ip route show table main
-default via 192.168.0.1 dev eth0 src 192.168.0.4 metric 202
+default via 192.168.0.1 dev main-eth src 192.168.0.4 metric 202
+default via 192.168.0.1 dev rescue-eth src 192.168.0.8 metric 203
-default via 192.168.1.1 dev eth1 src 192.168.1.2 metric 203
+default via 192.168.1.1 dev proxy-eth src 192.168.1.2 metric 204
-192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.4 metric 202
+192.168.0.0/24 dev main-eth proto kernel scope link src 192.168.0.4 metric 202
+192.168.0.0/24 dev rescue-eth proto kernel scope link src 192.168.0.8 metric 203
-192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.2 metric 203
+192.168.1.0/24 dev proxy-eth proto kernel scope link src 192.168.1.2 metric 204
 root@raspberrypi:/# ip route show table proxygw
-default via 192.168.1.1 dev eth1 src 192.168.1.2 metric 202
+default via 192.168.1.1 dev proxy-eth src 192.168.1.2 metric 202
-default via 192.168.0.1 dev eth0 src 192.168.0.4 metric 203
+default via 192.168.0.1 dev main-eth src 192.168.0.4 metric 203
-192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.4 metric 203
+192.168.0.0/24 dev main-eth proto kernel scope link src 192.168.0.4 metric 203
-192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.2 metric 202
+192.168.1.0/24 dev proxy-eth proto kernel scope link src 192.168.1.2 metric 202
 ```
 firewalldの設定変更後のiptablesの設定について

nic構成の変更

2018/09/08 14:51

投稿

minsuke54

スコア4

title CHANGED Viewed

File without changes

body CHANGED Viewed

@@ -1,15 +1,19 @@
 ## 注意点
 [以前の投稿](https://teratail.com/questions/136142)の字数制限のため、
-こちらに追加の質問をします。実現したい事などは、以前の投稿を参照してください。
+こちらに追加の質問をします。実現したい事等は、以前の投稿を参照して下さい。
-(ところでteratailの投稿字数のカウント方法はどうなっているのでしょうか？マルチバイト=2,空白=1としているのでしょうか？)
+(teratailの投稿字数のカウント方法はマルチバイト=2,空白=1としているのでしょうか？)
 ## 発生している問題・エラーメッセージ)(その4)
 以前の投稿からの続きなので、その4にしました。
-rpiを再起動すると、iptablesの設定が消えるため、firewalldを利用する事にしました。
+rpiを再起動すると、iptablesの設定が消えるため、firewalldを利用する事にしました。また、firewalldの設定ミスでどのnicからもrpiにアクセス不能になるので、
-[http://kazmax.zpp.jp/cmd/i/iptables.8.html](http://kazmax.zpp.jp/cmd/i/iptables.8.html)
-このリンクのownerモジュール一覧にある、「--cmd-owner」により、squidコマンド自体をルーティング対象にすることにしました。しかし、proxy接続によるルート変更以前にproxy接続自体ができません。
+回復nicを設けました。それに伴い、物理nic名を以下のように変更しました。
+eth0 -> main-eth
+eth1 -> proxy-eth
+回復nic : rescue-eth
+また、この[リンク](http://kazmax.zpp.jp/cmd/i/iptables.8.html)のownerモジュール一覧にある、「--cmd-owner」により、squidコマンド自体をルーティング対象にしました。しかし、proxy接続によるルート変更以前にproxy接続自体ができません。
 firewalldの設定は、proxynetというzone名を利用し、以下の結果が得られています。
 ```
 root@raspberrypi:/etc/firewalld# firewall-cmd --get-active-zone

具体的な症状の修正

2018/09/08 14:39

投稿

minsuke54

スコア4

title CHANGED Viewed

File without changes

body CHANGED Viewed

@@ -200,11 +200,13 @@
 Chain PRE_proxynet_AAA (1 references) (AAA=deny,log)
 target prot opt source destination
 ```
-具体的な症状は、proxyからhttpステータスコードが503のレスポンスが来ています。
+##具体的な症状
+・squid proxyから503のhttpレスポンス
+・1.1.1.1宛へのproxy接続を試行すると、src ipがeth1であるリクエストが物理nicがeth0であるインターフェースから送出をtsharkにより確認
 ### 補足情報（FW/ツールのバージョンなど）
 iptables v1.6.0
 squid3-3.5.23

細かい修正

2018/09/07 12:51

投稿

minsuke54

スコア4

title CHANGED Viewed

File without changes

body CHANGED Viewed

@@ -66,7 +66,7 @@
 ```
 firewalldの設定変更後のiptablesの設定について
-字数制限のため、明らかに無関係な「public」ゾーンの削除や、
+字数制限のため、明らかに無関係な「public」ゾーンの非表記や、
 (AAA=allow,deny,log)というまとめた表記をしました。
 iptables -Lの実行結果
@@ -118,12 +118,12 @@
 target    prot opt source     destination
 Chain FWDI_proxynet (2 references)(AAA=allow,deny,log)
-target  prot opt source               destination
+target prot opt source destination
-FWDI_proxynet_log  all  --  anywhere             anywhere
+FWDI_proxynet_AAA all -- anywhere anywhere
-ACCEPT  icmp --  anywhere             anywhere
+ACCEPT icmp -- anywhere anywhere
 Chain FWDI_proxynet_AAA (1 references) (AAA=allow,deny,log)
-target  prot opt source               destination
+target  prot opt source destination
 Chain FWDO_proxynet (2 references) (AAA=allow,deny,log)
 target  prot opt source          destination

字数調整

2018/09/07 12:17

投稿

minsuke54

スコア4

title CHANGED Viewed

File without changes

body CHANGED Viewed

@@ -2,7 +2,7 @@
 [以前の投稿](https://teratail.com/questions/136142)の字数制限のため、
 こちらに追加の質問をします。実現したい事などは、以前の投稿を参照してください。
+(ところでteratailの投稿字数のカウント方法はどうなっているのでしょうか？マルチバイト=2,空白=1としているのでしょうか？)
 ## 発生している問題・エラーメッセージ)(その4)
 以前の投稿からの続きなので、その4にしました。
@@ -73,82 +73,80 @@
 ```
 root@raspberrypi:/# iptables -L
 Chain INPUT (policy ACCEPT)
-target     prot opt source               destination
+target  prot opt source destination
-ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
+ACCEPT  all -- anywhere anywhere  ctstate RELATED,ESTABLISHED
-ACCEPT     all  --  anywhere             anywhere
+ACCEPT  all -- anywhere anywhere
-INPUT_direct  all  --  anywhere             anywhere
+INPUT_direct all -- anywhere anywhere
-INPUT_ZONES_SOURCE  all  --  anywhere             anywhere
+INPUT_ZONES_SOURCE all -- anywhere anywhere
-INPUT_ZONES  all  --  anywhere             anywhere
+INPUT_ZONES all -- anywhere anywhere
-DROP       all  --  anywhere             anywhere             ctstate INVALID
+DROP    all -- anywhere anywhere ctstate INVALID
-REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
+REJECT  all -- anywhere anywhere reject-with icmp-host-prohibited
 Chain FORWARD (policy ACCEPT)
-target     prot opt source               destination
+target  prot opt source    destination
-ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
+ACCEPT  all  --  anywhere  anywhere     ctstate RELATED,ESTABLISHED
-ACCEPT     all  --  anywhere             anywhere
+ACCEPT  all  --  anywhere   anywhere
-FORWARD_direct  all  --  anywhere             anywhere
+FORWARD_direct  all --  anywhere   anywhere
-FORWARD_IN_ZONES_SOURCE  all  --  anywhere             anywhere
+FORWARD_IN_ZONES_SOURCE all  --  anywhere    anywhere
-FORWARD_IN_ZONES  all  --  anywhere             anywhere
+FORWARD_IN_ZONES  all  --  anywhere   anywhere
-FORWARD_OUT_ZONES_SOURCE  all  --  anywhere             anywhere
+FORWARD_OUT_ZONES_SOURCE  all  --  anywhere  anywhere
-FORWARD_OUT_ZONES  all  --  anywhere             anywhere
+FORWARD_OUT_ZONES  all  --  anywhere  anywhere
-DROP       all  --  anywhere             anywhere             ctstate INVALID
+DROP    all  --  anywhere   anywhere   ctstate INVALID
-REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
+REJECT  all  --  anywhere   anywhere    reject-with icmp-host-prohibited
 Chain OUTPUT (policy ACCEPT)
-target     prot opt source               destination
+target     prot opt source    destination
-OUTPUT_direct  all  --  anywhere             anywhere
+OUTPUT_direct  all  --  anywhere   anywhere
 Chain FORWARD_IN_ZONES (1 references)
-target     prot opt source               destination
+target  prot opt source  destination
-FWDI_proxynet  all  --  anywhere             anywhere            [goto]
+FWDI_proxynet all -- anywhere  anywhere [goto]
 Chain FORWARD_IN_ZONES_SOURCE (1 references)
-target     prot opt source               destination
+target prot opt source  destination
-FWDI_proxynet  all  --  192.168.0.0/24       anywhere            [goto]
+FWDI_proxynet  all -- 192.168.0.0/24  anywhere  [goto]
 Chain FORWARD_OUT_ZONES (1 references)
-target     prot opt source               destination
+target prot opt source  destination
-FWDO_proxynet  all  --  anywhere             anywhere            [goto]
+FWDO_proxynet all -- anywhere  anywhere  [goto]
 Chain FORWARD_OUT_ZONES_SOURCE (1 references)
-target     prot opt source               destination
+target prot opt source   destination
-FWDO_proxynet  all  --  anywhere             192.168.0.0/24      [goto]
+FWDO_proxynet  all  --  anywhere   192.168.0.0/24  [goto]
 Chain FORWARD_direct (1 references)
-target     prot opt source               destination
+target    prot opt source     destination
 Chain FWDI_proxynet (2 references)(AAA=allow,deny,log)
-target     prot opt source               destination
+target  prot opt source               destination
 FWDI_proxynet_log  all  --  anywhere             anywhere
-ACCEPT     icmp --  anywhere             anywhere
+ACCEPT  icmp --  anywhere             anywhere
 Chain FWDI_proxynet_AAA (1 references) (AAA=allow,deny,log)
-target     prot opt source               destination
+target  prot opt source               destination
 Chain FWDO_proxynet (2 references) (AAA=allow,deny,log)
-target     prot opt source               destination
+target  prot opt source          destination
-FWDO_proxynet_AAA  all  --  anywhere             anywhere
+FWDO_proxynet_AAA all -- anywhere anywhere
 Chain FWDO_proxynet_AAA (1 references) (AAA=allow,deny,log)
-target     prot opt source               destination
+target prot opt source destination
 Chain INPUT_ZONES (1 references)
-target     prot opt source               destination
+target   prot opt source       destination
-IN_proxynet  all  --  anywhere           anywhere   [goto]
+IN_proxynet  all  --  anywhere anywhere [goto]
 Chain INPUT_ZONES_SOURCE (1 references)
-target     prot opt source               destination
+target  prot opt source          destination
-IN_proxynet  all  --  192.168.0.0/24     anywhere    [goto]
+IN_proxynet all -- 192.168.0.0/24 anywhere [goto]
 Chain INPUT_direct (1 references)
 target prot opt source   destination
 ACCEPT icmp --  anywhere anywhere
-Chain IN_proxynet (2 references)
+Chain IN_proxynet (2 references) (AAA=allow,deny,log)
 target     prot opt source        destination
-IN_proxynet_log all -- anywhere   anywhere
+IN_proxynet_AAA all -- anywhere   anywhere
-IN_proxynet_deny all -- anywhere  anywhere
-IN_proxynet_allow all -- anywhere anywhere
 ACCEPT    icmp -- anywhere        anywhere
 Chain IN_proxynet_allow (1 references)
@@ -165,9 +163,46 @@
 Chain OUTPUT_direct (1 references)
 target     prot opt source    destination
 ```
-字数制限のため、iptables -L -t mangleの実行結果は、のとほど載せます。
+iptables -L -t mangleの実行結果
+```
+root@raspberrypi:/# iptables -L -t mangle
+Chain PREROUTING (policy ACCEPT)
+target     prot opt source              destination
+PREROUTING_direct all -- anywhere       anywhere
+PREROUTING_ZONES_SOURCE all -- anywhere anywhere
+PREROUTING_ZONES all --  anywhere       anywhere
+Chain AAA (policy ACCEPT) (AAA=FORWARD,INPUT,OUTPUT,POSTROUTING)
+target   prot opt source   destination
+AAA_direct all -- anywhere anywhere
+Chain AAA_direct (1 references) (AAA=FORWARD,INPUT,OUTPUT,POSTROUTING)
+target prot opt source destination
+Chain PREROUTING_ZONES (1 references)
+target     prot opt source     destination
+PRE_proxynet  all  --  anywhere             anywhere  [goto]
+Chain PREROUTING_ZONES_SOURCE (1 references)
+target     prot opt source    destination
+PRE_proxynet  all  --  192.168.0.0/24       anywhere  [goto]
+Chain PREROUTING_direct (1 references)
+target     prot opt source     destination
+Chain PRE_proxynet (2 references) (AAA=allow,deny,log)
+target prot opt source destination
+PRE_proxynet_AAA all -- anywhere anywhere
+Chain PRE_proxynet_allow (1 references)
+target     prot opt source    destination
+MARK       tcp  --  192.168.0.0/24       anywhere   tcp dpt:3128 MARK set 0x1
+Chain PRE_proxynet_AAA (1 references) (AAA=deny,log)
+target prot opt source destination
+```
 具体的な症状は、proxyからhttpステータスコードが503のレスポンスが来ています。
 ### 補足情報（FW/ツールのバージョンなど）