5.1 LBを通ったNAT済みアドレスのソースアドレスを知りたい [Brocade Virtual Traffic Manager 17.2]

対応パッケージ
ロードバランシングWeb
LAMP Web
他のプランにも追加可能

本ページの内容に関するサポートは行っておりません。

具体的な設定方法や設定内容の有効性、用語などに関するご質問にはお答えしておりません。

あらかじめご了承ください。

本項目では、IIJサービスオンラインで、基本的なロードバランス構成を設定した後の操作を解説します。

FW+LBオプションでは、IPトランスペアレンシー機能によりLB(ロードバランサ)配下の仮想サーバに、ソースIPアドレスを通知することが可能です。

IPトランスペアレンシー機能を有効化する方法

1. LB配下の仮想サーバの「FWによる保護設定」が有効であることを確認する

「仮想サーバの詳細設定」画面で、「FWによる保護設定」が有効であることを確認します。

1.「設定・構築」をクリックします。
2.LB配下の仮想サーバのサービスコードをクリックします。

「仮想サーバの詳細設定」画面が表示されます。

3.「FWによる保護設定」に「gl########により保護されています」と表示されていることを確認します。
注 意

LB配下の仮想サーバの「FWによる保護設定」が無効の状態で、IPトランスペアレンシー機能を有効化すると、正常に通信ができなくなります。

2. LB配下の仮想サーバでソースIPアドレス通知許可を設定する

IPトランスペアレンシー機能を有効化する前に、対象の仮想サーバへソースIPアドレスの通知を許可する設定を行う必要があります。

SSHクライアントを使用して仮想サーバにログインして、アクセス制御設定(iptablesの設定)を行います。

1.SSHクライアントを使用して仮想サーバにログインします。
2.エディタでiptablesの編集画面を開きます。

# vi /etc/sysconfig/iptables

3.以下の2行を追加します。

以下は、80番ポートを通知許可する場合の記述ですが、任意のポート番号を通知許可できます。

# iijgio management network; do not delete

-A INPUT -i eth1 -s XXX.XXX.XXX.XXX/XXX.XXX.XXX.XXX -j ACCEPT (変更しないでください)

-A INPUT -i eth1 -s 10.0.0.0/255.0.0.0 -j DROP (追加する)

-A INPUT -i eth1 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT (追加する)

-A INPUT -i eth1 -m state --state NEW -j DROP (変更しないでください)

4.設定を反映します。

# /etc/init.d/iptables restart

iptables: Setting chains to policy ACCEPT: filter [ OK ]

iptables: Flushing firewall rules: [ OK ]

iptables: Unloading modules: [ OK ]

iptables: Applying firewall rules: ip_tables: (C) 2000-2006 Netfilter Core Team

nf_conntrack version 0.5.0 (7938 buckets, 31752 max)

[ OK ]

#

# systemctl restart iptables

注 意
  • 「# iijgio management network; do not delete」に続く行は、操作3で追加する箇所以外は変更しないでください。
  • 上記のアクセス制御設定(iptablesの設定)を行わずに、IPトランスペアレンシー機能を有効化すると、正常に通信ができなくなります。
補 足

CentOS 5系は、2017年3月30日に新規契約の受注を終了いたしました。

3. LB管理画面でIPトランスペアレンシー機能を有効にする

LB管理画面を利用する方法については、「E:詳細設定」「2.3 管理画面」をご覧ください。

1.LB管理画面に「customer」アカウントでログインします。
2.「Services」タブをクリックします。
3.「Pools」タブをクリックします。
4.プールをクリックします。
5.「IP Transparency」をクリックします。
6.「transparent」で「Yes」を選択し、「Apply Changes」の「Update」ボタンをクリックします。

設定が完了すると「Your configuration has been updated.」と表示されます。

7.仮想サーバでソースIPアドレスが通知されることを確認します。