- くだらねえ質問はここに書き込め! Part244(ワ有)
193 :login:Penguin (ワッチョイ b3b8-sER5)[sage]:2022/06/21(火) 16:24:44.83 ID:hseZ223D0 - >>191
>VPN経由とかじゃなく、インターネットを通った先のホストを
>ゲートウェイに指定する構成ってよくあるんだろうか…?
ふつうは無いでしょう。
>eth1の(必要以外の)全て受信方向のパケットをDROPする、とかはしてますか?
そのつもりだったけどeth1を通ってeth0のアドレス宛のパケットも入って来ると思ってませんでした。
急いで見直しをしました。
|
- くだらねえ質問はここに書き込め! Part244(ワ有)
194 :login:Penguin (ワッチョイ b3b8-sER5)[sage]:2022/06/21(火) 16:52:52.35 ID:hseZ223D0 - >>192
「どこか他に経路があるかも」とお疑いなのでしょうか?実験している環境は他に経路はありません。
189は本番環境とも実験環境とも異なる例です。
下記は実験環境の設定を189のIPアドレスに変えて書きます
やられる側
eth0: 192.168.1.2/24
eth1: 192.168.0.2/24
eth2: 203.0.113.2/24
# ip route
default via 203.0.113.1 dev eth2 onlink
192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.2
203.0.113.0/24 dev eth2 proto kernel scope link src 203.0.113.2
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.2
|
- くだらねえ質問はここに書き込め! Part244(ワ有)
195 :login:Penguin (ワッチョイ b3b8-sER5)[sage]:2022/06/21(火) 16:53:08.32 ID:hseZ223D0 - つづき
# nft list ruleset
table inet filter {
chain input {
type filter hook input priority filter; policy drop;
iif vmap { "lo" : accept, "eth0" : drop, "eth1" : drop, "eth2" : jump in-wan }
}
chain forward {
type filter hook forward priority filter; policy drop;
}
chain output {
type filter hook output priority filter; policy accept;
}
chain in-wan {
icmp type echo-request accept
tcp dport 22 accept
}
}
|
- くだらねえ質問はここに書き込め! Part244(ワ有)
196 :login:Penguin (ワッチョイ b3b8-sER5)[sage]:2022/06/21(火) 16:57:56.99 ID:hseZ223D0 - やる側
eth2: 192.168.3.1/24
eth0: 192.168.0.1/24
# ip route
default via 192.168.3.2 dev eth2
192.168.0.0/24 via 203.0.113.2 dev eth0
...
203.0.113.0/24 dev eth0 proto kernel scope link src 203.0.113.1
----
# traceroute -I 192.168.0.2
traceroute to 192.168.0.2 (192.168.0.2), 30 hops max, 60 byte packets
1 192.168.0.2 (192.168.0.2) 1.009 ms 0.989 ms 0.978 ms
~# traceroute -I 203.0.113.2
traceroute to 203.0.113.2 (203.0.113.2), 30 hops max, 60 byte packets
1 203.0.113.2 (203.0.113.2) 1.025 ms 1.005 ms 0.992 ms
いずれも1hop
|