UFW : IP マスカレードの設定2022/10/06 |
UFW における IP マスカレードの設定です。
当例では以下のような環境で設定します。 Internet -------------+------------- Gateway|192.168.0.1 | External | enp1s0|192.168.0.30 +------------+------------+ | | | dlp.srv.world | | | +------------+------------+ enp7s0|10.0.0.30 Internal | | |
[1] | Forward ポリシーを有効にします。 |
root@dlp:~#
vi /etc/default/ufw # 19行目 : 変更 DEFAULT_FORWARD_POLICY=" ACCEPT "
root@dlp:~#
vi /etc/sysctl.conf # 28行目 : コメント解除 net.ipv4.ip_forward=1 # 設定リロード root@dlp:~# sysctl -p root@dlp:~# ufw reload |
[2] | UFW デフォルト設定に加えて、Internal 側の任意のコンピューターが、[10.0.0.30] をゲートウェイとして、インターネット側に接続できるよう設定します。 |
root@dlp:~# ufw status verbose Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), allow (routed) New profiles: skip
root@dlp:~#
vi /etc/ufw/before.rules ..... ..... # don't delete the 'COMMIT' line or these rules won't be processed COMMIT # 最終行に追記 # NAT *nat -F :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 10.0.0.0/24 -o enp1s0 -j MASQUERADE COMMITroot@dlp:~# ufw reload |
[3] | 例として、[2] の設定に加えて、下記設定を追加します。 * External 側の [enp1s0] で受信した 22 番と 80 番ポート宛てのパケットを Internal 側のホスト [10.0.0.51] の同ポートへ転送 * External 側の [enp1s0] で受信した 3306 番ポート宛てのパケットを Internal 側のホスト [10.0.0.52] の同ポートへ転送 |
root@dlp:~# ufw allow ssh Rule added Rule added (v6) root@dlp:~# ufw allow http Rule added Rule added (v6) root@dlp:~# ufw allow mysql Rule added Rule added (v6) root@dlp:~# ufw status verbose Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), allow (routed) New profiles: skip To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 3306/tcp ALLOW IN Anywhere 22/tcp (v6) ALLOW IN Anywhere (v6) 80/tcp (v6) ALLOW IN Anywhere (v6) 3306/tcp (v6) ALLOW IN Anywhere (v6)
root@dlp:~#
vi /etc/ufw/before.rules ..... ..... # don't delete the 'COMMIT' line or these rules won't be processed COMMIT # NAT *nat -F :POSTROUTING ACCEPT [0:0] # 追記 :PREROUTING ACCEPT [0:0] -A PREROUTING -p tcp --dst 192.168.0.30 -m multiport --dports 22,80 -j DNAT --to-destination 10.0.0.51 -A POSTROUTING -p tcp --dst 10.0.0.51 -m multiport --dports 22,80 -j SNAT --to-source 10.0.0.30 -A PREROUTING -p tcp --dst 192.168.0.30 --dport 3306 -j DNAT --to-destination 10.0.0.52:3306 -A POSTROUTING -p tcp --dst 10.0.0.52 --dport 3306 -j SNAT --to-source 10.0.0.30 -A POSTROUTING -s 10.0.0.0/24 -o enp1s0 -j MASQUERADE COMMITroot@dlp:~# ufw reload |
Sponsored Link |
|