- くだらねえ質問はここに書き込め! Part244(ワ有)
193 :login:Penguin (ワッチョイ b3b8-sER5)[sage]:2022/06/21(火) 16:24:44.83 ID:hseZ223D0 - >>191
>VPN経由とかじゃなく、インターネットを通った先のホストを >ゲートウェイに指定する構成ってよくあるんだろうか…? ふつうは無いでしょう。 >eth1の(必要以外の)全て受信方向のパケットをDROPする、とかはしてますか? そのつもりだったけどeth1を通ってeth0のアドレス宛のパケットも入って来ると思ってませんでした。 急いで見直しをしました。
|
- くだらねえ質問はここに書き込め! Part244(ワ有)
194 :login:Penguin (ワッチョイ b3b8-sER5)[sage]:2022/06/21(火) 16:52:52.35 ID:hseZ223D0 - >>192
「どこか他に経路があるかも」とお疑いなのでしょうか?実験している環境は他に経路はありません。 189は本番環境とも実験環境とも異なる例です。 下記は実験環境の設定を189のIPアドレスに変えて書きます やられる側 eth0: 192.168.1.2/24 eth1: 192.168.0.2/24 eth2: 203.0.113.2/24 # ip route default via 203.0.113.1 dev eth2 onlink 192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.2 203.0.113.0/24 dev eth2 proto kernel scope link src 203.0.113.2 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.2
|
- くだらねえ質問はここに書き込め! Part244(ワ有)
195 :login:Penguin (ワッチョイ b3b8-sER5)[sage]:2022/06/21(火) 16:53:08.32 ID:hseZ223D0 - つづき
# nft list ruleset table inet filter { chain input { type filter hook input priority filter; policy drop; iif vmap { "lo" : accept, "eth0" : drop, "eth1" : drop, "eth2" : jump in-wan } } chain forward { type filter hook forward priority filter; policy drop; } chain output { type filter hook output priority filter; policy accept; } chain in-wan { icmp type echo-request accept tcp dport 22 accept } }
|
- くだらねえ質問はここに書き込め! Part244(ワ有)
196 :login:Penguin (ワッチョイ b3b8-sER5)[sage]:2022/06/21(火) 16:57:56.99 ID:hseZ223D0 - やる側
eth2: 192.168.3.1/24 eth0: 192.168.0.1/24 # ip route default via 192.168.3.2 dev eth2 192.168.0.0/24 via 203.0.113.2 dev eth0 ... 203.0.113.0/24 dev eth0 proto kernel scope link src 203.0.113.1 ---- # traceroute -I 192.168.0.2 traceroute to 192.168.0.2 (192.168.0.2), 30 hops max, 60 byte packets 1 192.168.0.2 (192.168.0.2) 1.009 ms 0.989 ms 0.978 ms ~# traceroute -I 203.0.113.2 traceroute to 203.0.113.2 (203.0.113.2), 30 hops max, 60 byte packets 1 203.0.113.2 (203.0.113.2) 1.025 ms 1.005 ms 0.992 ms いずれも1hop
|