3番目のサブネットからUbuntuサーバー上の両方のサブネット(デュアルNIC)にアクセスするにはどうすればよいですか?
これは私がたくさん学んでいる私のホームネットワークです。
VLANの詳細な関連詳細と、投稿の下部にある関連ゾーンファイアウォールルールを参照してください。
6つのWindowsサーバーのそれぞれに2つのNIC(管理/ DMZ)を正常に割り当て、LAN内のWindowsラップトップを使用して、スイッチ/ルーターなどのRDP/Webアクセスの管理の背後にあるものにアクセスします。Windowsから各サーバーにpingを実行できます。 LANマシンをそれらのDMZおよび管理IPに接続し、リターンを取得します。
そのため、数日前に同じ構成でUbuntu 16 LTSサーバーを追加しましたが、Windowsラップトップから両方のIPにpingを実行することはできません。
これが私の/ etc/network/interfacesファイルです
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.67.100
netmask 255.255.255.0
# network 192.168.67.0
# broadcast 192.168.67.255
gateway 192.168.67.253
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 192.168.67.253
dns-search on.fake.network
# Management network interface
auto eth1
iface eth1 inet static
address 192.168.7.100
netmask 255.255.255.0
# network 192.168.7.0
broadcast 192.168.7.255
#persistent static routes
up route add -net 192.168.1.0/24 gw 192.168.7.253 dev eth1
私のIPルートテーブル
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.67.253 0.0.0.0 UG 0 0 0 eth0
192.168.1.0 192.168.7.253 255.255.255.0 UG 0 0 0 eth1
192.168.7.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.67.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
したがって、この構成を使用すると、192.168.7.100にpingを実行できますが、192.168.67.100にはpingを実行できません。永続的な静的ルートとその反対のルートを取得します:/
どうすれば勝つことができますか?これはWindowsではかなり簡単ですが、Ubuntuでは困惑しています
*追加の詳細*
UbiqitiERL3ルーターはVLANを作成します
VLAN 7 - Management (192.168.7.0) - Router interface (GW) IP is 192.168.7.253
VLAN 13 - LAN (192.168.1.0) - Router interface (GW) IP is 192.168.1.253
VLAN 67 - DMZ (192.168.67.0) - Router interface (GW) IP is 192.168.67.253
LAN接続上のWindowsラップトップ
VLAN 13 - LAN (192.168.1.15)
Ubuntuサーバー(Hyper-Vホスト経由)には2つのNICがあります
eth0 - VLAN 67 - DMZ (192.168.67.100)
eth1 - VLAN 7 - Management (192.168.7.100)
Pingは、LAN192.168.1.15からDMZ/MGMT 192.168.67.100/192.168.7.100の両方に開始されます
これは、このシナリオに関連する要約ファイアウォールルール、SSH/HTTPアクセスなどの削除された追加機能です。
「address-groupmgmtfromlan」には、192.168.1.15(LAN VLAN内のラップトップ)を含むLANからのいくつかのIPが含まれていることに注意してください。
name lan-dmz {
default-action drop
enable-default-log
rule 1 {
action accept
state {
established enable
related enable
}
}
rule 2 {
action drop
log enable
state {
invalid enable
}
}
rule 100 {
action accept
description "Allow ICMP"
log enable
protocol icmp
}
}
name lan-mgmt {
default-action drop
enable-default-log
rule 1 {
action accept
state {
established enable
related enable
}
}
rule 2 {
action drop
log enable
state {
invalid enable
}
}
rule 100 {
action accept
description "Allow ICMP"
log enable
protocol icmp
source {
group {
address-group mgmtfromlan
}
}
}
}
name dmz-lan {
default-action drop
enable-default-log
rule 1 {
action accept
state {
established enable
related enable
}
}
rule 2 {
action drop
log enable
state {
invalid enable
}
}
}
name mgmt-lan {
default-action drop
enable-default-log
rule 1 {
action accept
state {
established enable
related enable
}
}
rule 2 {
action drop
log enable
state {
invalid enable
}
}
rule 100 {
action accept
description "Allow ICMP"
log enable
protocol icmp
}
}
* WINDOWS LAPTOP 192.168.1.15のルーティングテーブル*
===========================================================================
Interface List
15...b8 ca 3a d4 bb bc ......Intel(R) 82579LM Gigabit Network Connection #2
5...3c a9 f4 03 73 ed ......Microsoft Wi-Fi Direct Virtual Adapter #2
19...00 ff d4 0e 47 e9 ......TAP-Windows Adapter V9
7...3c a9 f4 03 73 ec ......Intel(R) Centrino(R) Ultimate-N 6300 AGN #2
1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Microsoft Teredo Tunneling Adapter
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.253 192.168.1.15 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.15 291
192.168.1.15 255.255.255.255 On-link 192.168.1.15 291
192.168.1.255 255.255.255.255 On-link 192.168.1.15 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.1.15 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.1.15 291
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 192.168.1.253 Default
0.0.0.0 0.0.0.0 192.168.1.253 Default
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 331 ::1/128 On-link
1 331 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
前もって感謝します
デフォルトルートが設定されている場合、ubuntu VMはeth1でパケットを受信します(192.168.1.15から:ping 192.168.7.100)。次のいずれかになります。
- リバースパスフィルタリングのためにパケットをドロップします。このパケットの送信元へのルートがないインターフェイスで受信されたパケット。
- 192.168.1.15はeth0の192.168.1.253経由のデフォルトルートと一致するため、eth0を介して回答します
動作は/proc/sys/net/ipv4/conf/{all,eth1}/rp_filter値によって異なりますが、デフォルトはドロップです:all/rp_filter = 1およびeth1/rp_filter = 1
ドロップされない場合:ルーターERL3は、192.168.1.7.100からの応答パケットを確認します。これはlan-mgmtにあるはずですが、lan-dmzから転送されます。あなたが書いたルーターの構成におそらく記述されている設定に依存しますが、私にはわかりません:
- rp_filterが有効になっているときにubuntuがドロップするのと同じ理由で多かれ少なかれそれをドロップします:それのためのルートは他の場所にあります
- とにかくそれを受け入れます。
ERL3がそれを受け入れると考えてみましょう。次に、「修正」は簡単です。リバースパスフィルタリングを無効にすることでubuntuのセキュリティを低下させます。
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter
参照: https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt (rp_filter)
(動作方法では、eth0は保護されたままですが、ここでは関係ありません)
最初に試してみてください。うまくいく場合は、問題は解決しています。代わりに、eth1のみのecho 0をecho 2に置き換えることを検討してください(ルーズモード)。ただし、それでも問題があることを考慮してください。非対称ルーティングは、特にファイアウォールで他の問題を引き起こす可能性があります。
ルーターERL3もフィルタリングしている場合(つまり、上記が機能しなかった場合):ubuntuは、両方のインターフェイスに192.168.1.0/24が存在することを認識し、tableおよびrule設定を使用する必要があります。正しいルーティングのために。これは、方法に加えて、すべての理由を説明するのが少し難しいです。これは、この場合に正確に当てはまるわけではありませんが、ほとんどの場合に基づくことができます(ここで行いました)。
参照: http://lartc.org/howto/lartc.rpdb.multiple-links.html
192.168.7.0/24と192.168.67.0/24に一致するように任意のテーブル7と67を選択しました。空のルート(自動的に作成されたローカルLANルートの横)から開始し、次のことを行います。
ip route add 192.168.67.0/24 dev eth0 src 192.168.67.100 table 67
ip route add default via 192.168.67.253 table 67
ip route add 192.168.7.0/24 dev eth1 src 192.168.7.100 table 7
ip route add 192.168.1.0/24 via 192.168.7.253 table 7 #enable only LAN to have a route to access MGMT. Feel free to replace 192.168.1.0/24 with default, you have a firewall too.
これが本当に必要かどうかはわかりませんが、ドキュメントに記載されているので...:
ip route add 192.168.7.0/24 dev eth1 src 192.168.7.100
ip route add 192.168.67.0/24 dev eth0 src 192.168.67.100
デフォルトルートは同じままです。ここでもip routeの構文で:
ip route add default via 192.168.67.253
そして、正しいインターフェースを使用するように指示する本当に重要な部分:
ip rule add from 192.168.67.100 table 67
ip rule add from 192.168.7.100 table 7
最後の注意:ubuntuがルーティングしないことを確認してください。そうしないと、侵害されたDMZホストがubuntuを介して他のホストを管理しようとする可能性があります:
echo 0 > /proc/sys/net/ipv4/conf/default/forwarding
echo 0 > /proc/sys/net/ipv4/conf/all/forwarding
静的ルートはデフォルトゲートウェイを上書きします。
ルートが存在する場合、192.168.1.xへのすべてのトラフィックは、ゲートウェイとして192.168.7.253を使用してeth1を通過します。
ルートが存在しない場合、192.168.1.xへのすべてのトラフィックは、ゲートウェイとして192.168.67.253を使用してeth0を通過します。
PCからサーバーへのパスは問題ありませんが、pingを実行したインターフェイスに応じて、リターンパスは別のルートをたどります。これは非対称ルーティングと呼ばれ、通常、セキュリティデバイスでは許可されていません。ファイアウォールでブロックされている可能性があります。本質的に、別のルートを経由するリターントラフィックは「無関係」で認識されないトラフィックであるため、ドロップされます。
この問題を解決する最も簡単な方法は、データを受信したインターフェイスに応じて、トラフィックが正しいルートに戻るようにすることだと思います。これは、両方のインターフェイスにデフォルトゲートウェイを設定することで実行できます。
残念ながら、これは思ったほど簡単ではありません。代替ルーティングテーブルとルーティングルールを作成する必要があります。
これらの記事が役立つかどうかを確認してください: https://www.thomas-krenn.com/en/wiki/Two_Default_Gateways_on_One_System
https://askubuntu.com/questions/310355/networking-with-multiple-nics