Hatena::ブログ(Diary)

ubuntu日記

2010-09-21

ufw でルータをつくる

早速ですが、Ubuntu 10.04 の ufwルータを作ってみたいと思います。

iptablesルータを作るというのはネットでよく見るのですが、ufw ですとあまり見かけないので紹介します。

ufw というのは iptablesラッパーです。

ラッパーですから、ufw に出来て iptables に出来ないことは(多分)ないですが、残念ながら iptables に出来て ufw に出来ないことはあります。

そんなときは /etc/ufw/*.rules などを編集して iptables を直接叩けますので、くやしいですがそうしましょう。個人的には ufw の方がシンプルに感じるのでオススメします。

あ、あくまで機能の紹介なのでセキュリティについては触れてません。

            インターネット
                  │ gw [192.168.0.254]
                  │
──────┬──┴────────── 192.168.0.0/24
            │
            │ eth1 [192.168.0.1]
        ┌─┴─┐
        │  gw  │
        └─┬─┘
            │ eth0 [10.0.0.1]
            │
──────┴──┬────────── 10.0.0.0/24
                  │
                 │ eth0 [10.0.0.2]
              ┌─┴─┐
              │  w1  │
              └───┘
ubuntu@gw:~$ cat /etc/network/interfaces 
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
  address 10.0.0.1
  netmask 255.255.255.0

auto eth1
iface eth1 inet static
  address 192.168.0.1
  netmask 255.255.255.0
  gateway 192.168.0.254
ubuntu@w1:~$ cat /etc/network/interfaces 
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
  address 10.0.0.2
  netmask 255.255.255.0
  gateway 10.0.0.1

環境は上記のようになります。

まずはパケットの転送を許可します。

パケットの転送を許可するためには、/etc/default/ufw と /etc/ufw/sysctl.conf を下記のように編集します。

ubuntu@gw:~$ sudo vi /etc/default/ufw
#DEFAULT_FORWARD_POLICY="DROP"
DEFAULT_FORWARD_POLICY="ACCEPT"

sysctl については、通常 /etc/sysctl.conf を編集しますが、ufw では /etc/ufw/sysctl.conf を編集します。

/etc/ufw/sysctl.conf の 10 行目あたりのコメントアウトを外してください。

ubuntu@gw:~$ sudo vi /etc/ufw/sysctl.conf
net/ipv4/ip_forward=1

次に IP マスカレードの設定を /etc/ufw/before.rules に記述して、ufw を有効にして完成です。

下記のコードを最初のコメントブロックの後 (11行目あたり) に記述してください。

*nat から COMMIT までが nat テーブルの設定になるので、きちんと記述してください。

10.0.0.0/24 からのパケットを eth1 に転送するという意味です。

ubuntu@gw:~$ sudo vi /etc/ufw/before.rules
# nat Table rules
*nat
:POSTROUTING ACCEPT [0:0]

# Forward traffic from eth0 through eth1.
-A POSTROUTING -s 10.0.0.0/24 -o eth1 -j MASQUERADE

# don't delete the 'COMMIT' line or these nat table rules won't be processed
COMMIT
ubuntu@gw:~$ sudo ufw disable && sudo ufw enable

以上です。

慣れれば 3 分で出来ますよ。


参考文献

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証