iptablesでLinuxルータ

/ Linux/Unix / Comment[0]
IPアドレスを設定
LOOX# ifconfig wlan0 192.168.1.2
LOOX# ifconfig eth0 10.0.0.1

iptablesを初期化
LOOX# iptables -t nat -F
LOOX# iptables -F
LOOX# iptables -X

セキュリティを上げるためにINPUTとOUTPUTのデフォルトポリシをDROPに設定
LOOX# iptables -P INPUT DROP
LOOX# iptables -P OUTPUT DROP

10.0.0.0/8からの通信をマスカレード(IPアドレスを複数のホストで共有)する
LOOX# iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -j MASQUERADE

IPフォワードを許可
LOOX# echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
LOOX# sysctl -p /etc/sysctl.conf

これでルータの完成。


お次はクライアントの設定

LOOXとクライアントをeth0で繋ぎ、IPアドレスを設定し、ゲートウェイをLOOXのIPアドレスに設定する
CL# ifconfig eth0 10.10.10.10
CL# route add default gw 10.0.0.1

完了。


ネットワーク疎通をチェック
CL# host google.com
google.com has address 74.125.153.99
google.com has address 74.125.153.104
:

CL# ping google.com
64 bytes from ty-in-f104.1e100.net (74.125.153.104): icmp_req=1 ttl=51 time=47.5 ms
^C
--- google.com ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 47.554/47.554/47.554/0.000 ms
おk

経路を見てみる
CL# tracepath -n 192.168.1.1
 1:  10.10.10.10                                           0.206ms pmtu 1500
1: 10.0.0.1 0.601ms
1: 10.0.0.1 0.575ms
2: 192.168.1.1 3.306ms reached
Resume: pmtu 1500 hops 2 back 254
ちゃんとLOOX(10.0.0.1)を通っている


ntt.setupとAPの間にこのLOOXを仕込み、LOOXのターミナルから
# tcpdump -X |egrep -A1 'USER|PASS'
とかやるとftpだとかpop3だとか暗号化されていない認証におけるユーザとパスワードの盗聴が可能
人んちでやたらftpだとかtelnetだとかpop3だとか無暗号認証モノは使わない方がいいね。
関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可