- くだらねえ質問はここに書き込め! Part244(ワ有)
197 :login:Penguin (ワッチョイ 477d-cn1k)[sage]:2022/06/21(火) 21:00:25.32 ID:GebhPuH30 - # ip a の結果を見ていませんので分かりませんが、接続元のeth0は
グローバルIP(203.0.113.1)とローカルIP(192.168.0.1)の
2つのIPアドレスが振ってあるんでしょうか…?
その構成だったら誰かがグローバルIP振られたNICに
192.168.0.0/24の範囲内のIPアドレスを故意に追加してアクセスしてきたら
(少なくともこれまでは)192.168.0.2のeth1まで
パケット届くってことみたいですね
|
- くだらねえ質問はここに書き込め! Part244(ワ有)
198 :login:Penguin (ワッチョイ 477d-cn1k)[sage]:2022/06/21(火) 21:01:29.40 ID:GebhPuH30 - 203.0.113.2側マシンをルーター的に複数NICで使用するつもりだったら、
203.0.113.2のeth2はどう考えてもnftablesで
マスカレード接続にするべきなんでは…と思います
その上で外部から接続する通信だけNATルール追加で
iptablesならnatテーブルで
*nat
# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth2 -j MASQUERADE
とかだったと思うんですが
|
- くだらねえ質問はここに書き込め! Part244(ワ有)
199 :login:Penguin (ワッチョイ 477d-cn1k)[sage]:2022/06/21(火) 21:03:40.56 ID:GebhPuH30 - あと、nftablesの読み方はまだよく知りませんが、
chain in-wan ってチェインは多分WAN側インターフェイスの
eth2の設定ですよね…?
公開鍵認証使ってるんだったら(厳格な運用なら)ほとんど不正ログインは
無理でしょうけど、SSHデフォルトのport22が開いてるのが見えたら
他のポートをスキャンしたり不正アクセスを試す輩も多そう
(呼び水になる)
なので最低限インターネット側にさらすポート番号は
wellknownポート以外に変えるといいと思います
できれば外部からの接続はVPNだけにして他のポートは閉じたい
|