カスタム検索
このエントリーをはてなブックマークに追加
tomo.gif (1144 ツバツイツト)line.gif (927 ツバツイツト)line.gif (927 ツバツイツト)line.gif (927 ツバツイツト)To previous pageTo home pageMailing to me

RTX-1000をIPルータで使う実験

Modified: 1 September 2006


LAN内のサーバーを分離する (1 September 2006


 LAN内のサーバーを分離する 

何がしたいのか

家庭内でインターネットをするが、家族のセキュリティ意識が薄いので、子供などのPCがウイルス感染しても、自分のサーバーやPCには影響しないように、アクセス制限したいと思いました。

つまり、同一LAN、同一ネットワークアドレスでありながら、セグメントを分離するために、RTX-1000を利用して実験してみました。

個々のPCで、WindowsのFirewallや、LinuxのNetfilterを設定しても可能ですが、個々に設定するのではなく、一括管理したいのでこの実験を行いました。

以下の図では、「S1」は私のPCです。「S2」、「S3」は、家族のPCです。

IPアドレスの割付

RTX-1000のIPアドレス

RTX-1000の「LAN1」に、「192.168.10.11」を割り付けます。

「LAN3」に、「192.168.20.11」を割り付けます。

ip lan1 address 192.168.10.11/24
ip lan3 address 192.168.20.11/24

PCのIPアドレス

PCには、以下のように、IPアドレスを設定します。

「192.168.20.0/24」のセグメントのゲートウエイは、「192.168.20.11」に設定します。


RTX-1000の設定

以下のように設定します。

ip route default gateway 192.168.10.1
ip lan1 address 192.168.10.11/24
ip lan1 nat descriptor 1
ip lan3 address 192.168.20.11/24
nat descriptor type 1 nat
nat descriptor address outer 1 192.168.10.2
nat descriptor address inner 1 192.168.20.2
nat descriptor static 1 1 192.168.10.2=192.168.20.2 252

外部へのアクセスは、大元の「FW」を経由するので、以下のように設定します。

ip route default gateway 192.168.10.1

RTX-1000で挟まれている「192.168.20.0/24」は、そのままでは外部接続できないので、NAT変換で、「192.168.10.11/24」のIPアドレスに変換するために、以下のように設定します。

静的NATに設定です。

ip lan1 nat descriptor 1
nat descriptor type 1 nat
nat descriptor address outer 1 192.168.10.2
nat descriptor address inner 1 192.168.20.2
nat descriptor static 1 1 192.168.10.2=192.168.20.2 252

つまり、「192.168.20.2」は、「192.168.10.2に、「192.168.20.3」は、「192.168.10.3」のように順次変換され、252個目の、「192.168.20.254」は、「192.168.10.254」に変換されます。

「S1」と、「S2」、「S3」のアクセスは、RTX-1000で設定します。


To previous pageTo home pageMailing to meJump to Top of pageline.gif (927 ツバツイツト)line.gif (927 ツバツイツト)tomo.gif (1144 ツバツイツト)
カスタム検索



このエントリーをはてなブックマークに追加