- くだらねえ質問はここに書き込め! Part244(ワ有)
197 :login:Penguin (ワッチョイ 477d-cn1k)[sage]:2022/06/21(火) 21:00:25.32 ID:GebhPuH30 - # ip a の結果を見ていませんので分かりませんが、接続元のeth0は
グローバルIP(203.0.113.1)とローカルIP(192.168.0.1)の 2つのIPアドレスが振ってあるんでしょうか…? その構成だったら誰かがグローバルIP振られたNICに 192.168.0.0/24の範囲内のIPアドレスを故意に追加してアクセスしてきたら (少なくともこれまでは)192.168.0.2のeth1まで パケット届くってことみたいですね
|
- くだらねえ質問はここに書き込め! Part244(ワ有)
198 :login:Penguin (ワッチョイ 477d-cn1k)[sage]:2022/06/21(火) 21:01:29.40 ID:GebhPuH30 - 203.0.113.2側マシンをルーター的に複数NICで使用するつもりだったら、
203.0.113.2のeth2はどう考えてもnftablesで マスカレード接続にするべきなんでは…と思います その上で外部から接続する通信だけNATルール追加で iptablesならnatテーブルで *nat # iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth2 -j MASQUERADE とかだったと思うんですが
|
- くだらねえ質問はここに書き込め! Part244(ワ有)
199 :login:Penguin (ワッチョイ 477d-cn1k)[sage]:2022/06/21(火) 21:03:40.56 ID:GebhPuH30 - あと、nftablesの読み方はまだよく知りませんが、
chain in-wan ってチェインは多分WAN側インターフェイスの eth2の設定ですよね…? 公開鍵認証使ってるんだったら(厳格な運用なら)ほとんど不正ログインは 無理でしょうけど、SSHデフォルトのport22が開いてるのが見えたら 他のポートをスキャンしたり不正アクセスを試す輩も多そう (呼び水になる) なので最低限インターネット側にさらすポート番号は wellknownポート以外に変えるといいと思います できれば外部からの接続はVPNだけにして他のポートは閉じたい
|