UbuntuServer8.04でのファイアウォール構築について

現在UbuntuServer8.04でufwを使ってファイアウォールを構築しています。
ファイアウォールにするPCにNICを1枚追加し、eth0をWAN側、eth1をLAN側にしてケーブルでつないでみたのですがネットワークに接続できません。

ufwの設定は以下のサイトを参考にし、IPマスカレードの設定をしました。
http://doc.ubuntu.com/ubuntu/serverguide/C/firew …

現在の構成は以下の通りです。
ルータ－－－(eth0)ファイアウォールPC(eth1)－－－PC

ルータ：192.168.0.1
ファイアウォール(eth0)：192.168.0.179　GW：ルータ
　　　　　　　　(eth1)：192.168.0.180　GW：ルータ
PC:192.168.0.101　GW：ルータ

以下が自分で試してみた項目の一覧です。
・IPマスカレードのFORWARDの設定のインタフェースをeth0からeth1にかえてみる
・ファイアウォールのeth1のGWを自分のIPにする
・PCのGWをファイアウォールのeth1にする
・ファイアウォールのeth0とeth1のケーブル接続を交代して設定をやり直す

上記の項目を色々組合わせたりしてみたのですがどうしてもつながりませんでした。
pingもeth0→ルータ、eth1→PCは飛ばせるのですが
PC→ルータ、eth0→PCはホストが見つかりませんという旨のメッセージが返されてしまいます。

詳しい方がいらっしゃいましたら、アドバイスをよろしくお願いします。

No.1 ベストアンサー 回答者： u-kid 回答日時： 2008/08/28 18:40

回答が付かないようですので、つたないながら・・・。

ご質問を見た感じでは、eth0とeth1を同一セグメントにしているのが問題ではないかとおもいます（ネットマスクの設定が書かれていないので、推測です）。通常2つ以上のネットワークインターフェイスに同一セグメントを割り当てると通信がうまくいかなくなります。どちらのポートに送信したらいいか分からなくなりますので。ネットワークブリッジにするとか、冗長化するとか特別な場合は別ですが、そのためには色々設定やらツールやらが必要になりますし、なによりファイアウォールとして使うという目的に反します。
また、PCのdefault GWの設定もおかしいように思います。

というわけで、eth1の設定およびPCの設定を異なるネットワークセグメントに割り付けてください。例えば、こんな感じです。
eth0: 192.168.0.179 netmask 255.255.255.0 default gateway ルータのIP
eth1: 192.168.1.1 netmask 255.255.255.0 (default gateway不要)
PC:192.168.1.2 netmask 255.255.255.0 default gateway 192.168.1.1

この回答へのお礼

ご回答ありがとうございました。
指摘してくださったところを直しましたところ
ファイアウォールの内側からネットワーク接続することができ、
ファイアウォールの外側からは内側に接続できないようにすることができました。

セグメントの件はファイアウォールがルータの内側(LAN側)にあるのだから
ホスト部さえ違っていれば大丈夫だと思っていました^^；

デフォルトゲートウェイ＝「外のネットワークとの間にあるもの」という風に曖昧に理解をしていたので、
こちらも「外のネットワークとの出入り口はルータしかない」と勘違いしていました。

今回は設定を下記のように修正し、問題を解決することができました。
ルータ:192.168.0.1
eth0:192.168.0.179 mask:255.255.255.0 GW:ルータ
eth1:192.168.1.180 mask:255.255.255.0 GW:なし
PC:192.168.1.101 mask:255.255.255.0 GW:eth1

お礼日時：2008/08/30 16:17