[linux-users:70087] Re: ip-masquerade下のローカルＮＴでＶＰＮを行いたい

中谷です。

From: Kiyoshi Saeki <k-saeki _at_ leo.bekkoame.ne.jp>
Subject: [linux-users:70083] Re: ip-masquerade 下のローカルＮＴでＶＰＮを行いたい
Date: Sun, 4 Jun 2000 02:10:31 +0900

> こんにちはｓａｅｋｉです。
> 
> >そうです、現在ｉｐｍａｓｑａｄｍ、ｒｅｄｉｒあたりを使えば出来るのかと試行しています。
> >ＨＴＴＰ（ポート８０）のフォワードでテストをしています。
> >ｒｅｄｉｒではＨＴＴＰのフォワードテストが成功するのですが、
> >ｉｐｍａｓｑａｄｍは今のところ上手くいっていません。
> >この辺は後で又投稿質問する予定です。
> 
> いきなりＶＰＮ（ＰＰＴＰ）のフォワードはテスト環境が無いので、
> ＨＴＴＰのポートフォワードでテスト行いました。
> 
> ｉｐｍａｓｑａｄｍは今のところ上手くいっていません、
> どなたかportfwが使えている方はいますでしょうか？
private network内のWebサーバをportfwでInternet上へ公開してます。

> テスト環境
> 
> カーネル　　　　２．２．１３　ＴｕｒｂｏＬｉｎｕｘ　４．５
> 
> CONFIG_EXPERIMENTAL=y
> CONFIG_IP_FIREWALL=y
> CONFIG_IP_MASQUERADE=y
> CONFIG_IP_MASQUERADE_ICMP=y
> CONFIG_IP_MASQUERADE_MOD=y
> CONFIG_IP_MASQUERADE_IPAUTOFW=m
> CONFIG_IP_MASQUERADE_IPPORTFW=m
> CONFIG_IP_MASQUERADE_MFW=m
> この辺は設定してます。
> 
> ｉｐｃｈａｉｎｓ　　　　１．３．８
> ｒｅｄｉｒ　　　　　　　１．１．１（2.0、２．１でもＯＫでした）
> ｉｐｍａｓｑａｄｍ　　０．４．２
> 
> 
>           +-------------------+------------------+
> 　　　　　|                                |                                |
> 　　　ＭＮ－１２８　　　　　　　ＬｉｎｕｘＦＷ　　　　　　　　Windows98
> 　　（192.168.8.1)　　　　　（192.168.8.4)　　　　　　　（192.168.8.2)
> 
> テストマシンが２台しかないので、ルータのMN-128をWebサーバとして
> 192.168.8.2から192.168.8.4へのＨＴＴＰリクエストを192.168.8.1でフォワードし
> MN-128の設定画面が見えれば取り敢えずテストＯＫにしました。

LinuxFWをマルチホームにしてやらないとテストできないのでは？

> ｒｅｄｉｒでのテスト
> 
> redir 192.168.8.1 80 &
> 
> として、テストはＯＫでした。
redirは知りませんが、なぜ動くんでしょう。
MN128から直接win98へパケットを返しているのではないのかな？

> ipmasqadmでのテスト
> 
> ipmasqadm portfw  -a -P tcp -L 192.168.8.4 80 -R 192.168.8.1 80
> 
> ipmasqadm portfw  -lで以下の表示
> prot localaddr            rediraddr               lport    rport  pcnt  pref
> TCP  192.168.8.4      192.168.8.1            http     http    10    10
> 
> としてテストするとMN-128の設定画面が出ませんでした。
LinuxFWがマルチホームで192.168.8.4が外側のIPアドレスなら
上のような設定で動くはず。

> テスト後ipchains -L -Mで見てみると以下の表示
> IP masquerading entries
> prot expire   source               destination          ports
> TCP  00:59.70 192.168.8.1          192.168.8.2          http (80) -> 2663
> 
> 192.168.8.1へのフォワードは上手くいっている用に見えますが、
> 応答が返って来ないような気がします。
> 
> TCPDUMPも取って見たのですが今一良く解りません。
でも動かないんだったらパケットをみて考えるしかないと思います。
私の推測では、以下のような事が起きています。
tcpdumpやetherealで確認出来ると思います。

win98が出すパケット
win98:any->LinuxFW:80

これをLinuxFWが受取り、以下のように変換する
win98:any->MN-128:80

これをMN-128が受取り、以下のように返答する。
MN-128:80->win98:any

帰りのパケットはLinuxFWが関知しない構成になってる。
win98はMN-128へパケットを送った記憶がないので無視する。

Follow-Ups:

[linux-users:70113] Re: ip-masquerade 下のローカルＮＴでＶＰＮを行いたいKiyoshi Saeki

References:

[linux-users:70083] Re: ip-masquerade 下のローカルＮＴでＶＰＮを行いたいKiyoshi Saeki

Prev by Subject: [linux-users:70086] Re: pingが飛びません
Next by Subject: [linux-users:70088] Re: setup(muLinux)
Previous by thread: [linux-users:70083] Re: ip-masquerade 下のローカルＮＴでＶＰＮを行いたい
Next by thread: [linux-users:70113] Re: ip-masquerade 下のローカルＮＴでＶＰＮを行いたい
Indexes:[Main][Thread]