攻撃対策の一環として LXD のホストサーバーにグローバル IP をつけず 踏み台サーバーから NAT して通信するという環境を構築した際の踏み台サーバーの設定の話
やったこと
- カーネルの IP フォワーディングの設定
- iptables で NAT 設定(マスカレード)
- ufw のフォワーディング設定
カーネルの IP フォワーディング設定
/etc/sysctl.conf にフォワーディング設定を追加
net.ipv4.ip_forward = 1sysctl -pIptables で NAT 設定
iptables -t nat -A POSTROUTING -o eth0 -s 172.19.x.0/24 ! -d 172.19.x.0/24 -j MASQUERADE設定後はこんなかんじ
Chain POSTROUTING (policy ACCEPT 200K packets, 13M bytes)
pkts bytes target prot opt in out source destination
3748 270K MASQUERADE all -- * eth0 172.19.x.0/24 !172.19.x.0/24ufw のフォワーディング設定
ufw を利用している場合は /etc/default/ufw のフォワーディングポリシーを下記の設定に変更
DEFAULT_FORWARD_POLICY="ACCEPT"ufw を再起動
ufw reloadまとめ
ufw の設定ができておらず数日ハマった ufw の設定に関して設定する記事があまり出てこないのでここに記載しておく
おしまい
