【Ubuntuのルーター化】仮想環境で学ぶパケット転送とルーティング設定

Ubuntu（仮想マシン）を選択し、設定アイコンを押下して設定画面を表示します。続いて、高度メニュー内のネットワークを選択します。

ネットワーク設定画面では、ネットワークアダプターを個別に設定できます。本記事では「アダプター1」と「アダプター2」を使用します。

「アダプター1」タブを開き、以下のように設定します。

• 「ネットワークアダプターを有効化」にチェックを入れる
• 「割り当て」はホストオンリーアダプターを選択する
• 「名前」は192.168.10.0/24に対応するホストオンリーアダプターを選択する（※）

※ どのアダプターが192.168.10.0/24に対応するか不明の場合、VirtualBoxのネットワークマネージャーでご確認ください。

続いて「アダプター2」タブを開き、Debian側のネットワークを設定します。

• 「ネットワークアダプターを有効化」にチェックを入れる
• 「割り当て」はホストオンリーアダプターを選択する
• 「名前」は192.168.20.0/24に対応するホストオンリーネットワークを選択する

アダプター1とアダプター2の設定画面に表示されているMACアドレスを記録しておきます。

VirtualBoxの「アダプター1」「アダプター2」が、Ubuntu上で必ずしもenp0s3、enp0s8の順に割り当てられるとは限りません。Ubuntu上でどのNICがどのインターフェースに対応しているかを特定する際、MACアドレスを使用します。

ネットワークアダプターの設定が完了したら、設定画面のOKボタンをクリックして設定を保存します。

Ubuntu（仮想マシン）を起動した後、前述の作業で割り当てた2枚のNICが認識されているかを確認します。

$ ip -br link
lo               UNKNOWN        00:00:00:00:00:00 <LOOPBACK,UP,LOWER_UP>
enp0s3           UP             08:00:27:f1:f3:da <BROADCAST,MULTICAST,UP,LOWER_UP>
enp0s8           UP             08:00:27:c8:eb:3b <BROADCAST,MULTICAST,UP,LOWER_UP>

ip -br linkコマンドでは、インターフェース名、リンク状態、MACアドレスを簡潔に確認できます。

あわせて読みたい

【Linux版】ネットワークインターフェース（NIC）確認コマンド 【Kali Linux・Ubuntu対応】ネットワークインターフェース（NIC）の確認コマンドを体系的に学べる記事です。「ip addr」「ip link」など、各コマンドの用途や出力結果を紹介！ディストリビューション別の対応表も掲載しているので、環境に合ったコマンドがすぐに分かります。

Ubuntuが認識しているインターフェースのMACアドレスと、前段の作業で確認したネットワークアダプター側のMACアドレスを照合することで、各インターフェースがどのアダプターに接続しているかを特定できます。

• enp0s3は、アダプター1（192.168.10.0/24、つまりKali Linux側ネットワーク）
• enp0s8は、アダプター2（192.168.20.0/24、つまりDebian側ネットワーク）

に接続していることが確認できます。

Ubuntu Serverでは、通常、Netplanを使用してネットワーク設定を管理します。Netplanの設定ファイルは/etc/netplanディレクトリ配下に配置されており、ファイル名は環境により異なります。

本記事の検証環境の場合、/etc/netplan/00-installer-config.yaml

 編集後の設定ファイル

$ sudo cat /etc/netplan/00-installer-config.yaml
network:
  ethernets:
    enp0s3:
      dhcp4: false
      accept-ra: false
      addresses:
      - 192.168.10.254/24
    enp0s8:
      dhcp4: false
      accept-ra: false
      addresses:
      - 192.168.20.254/24
  version: 2

• ethernets：Ethernetインターフェースの設定
• enp0s3：Kali Linux側ネットワークに接続するインターフェース
• enp0s8：Debian側ネットワークに接続するインターフェース
• dhcp4: false：DHCPによるIPアドレスの自動取得を無効化
• accept-ra: false：IPv6のRouter Advertisementを無効化
• addresses：インターフェースへ割り当てる固定IPアドレス
• version: 2：Netplanの設定フォーマットのバージョン

本記事ではネットワーク間のルーティングを目的としているため、デフォルトゲートウェイやDNSサーバーは設定していません。

設定ファイルを保存したら、netplan tryコマンドで設定を反映します。netplan applyとは異なり、netplan tryでは、実行後に120秒の確認時間が設けられています。時間内に設定を確定しなかった場合、自動的に変更前の状態へロールバックされます。

$ sudo netplan try

設定ファイルに構文エラーがある場合は、エラーメッセージが表示されます。設定内容に問題がなければ、Enterキーを押して設定を確定させます。

enp0s3に192.168.10.254/24、enp0s8に192.168.20.254/24が割り当てられていれば、固定IPアドレスの設定は完了です。

$ ip -br address
lo               UNKNOWN        127.0.0.1/8 ::1/128
enp0s3           UP             192.168.10.254/24 fe80::a00:27ff:fef1:f3da/64
enp0s8           UP             192.168.20.254/24 fe80::a00:27ff:fec8:eb3b/64

さらに、Ubuntuが2つのネットワークを直接接続されたネットワークとして認識しているか、ルーティングテーブルを確認します。

$ ip route
192.168.10.0/24 dev enp0s3 proto kernel scope link src 192.168.10.254
192.168.20.0/24 dev enp0s8 proto kernel scope link src 192.168.20.254

• 1行目
  • 192.168.10.0/24：宛先ネットワーク
  • dev enp0s3：通信を送り出すネットワークインターフェース
  • proto kernel：手動ではなくLinuxカーネルによって自動的に生成された経路
  • scope link：同一リンク内（直接接続されたネットワーク）
  • src 192.168.10.254：送信元IPアドレス
• 2行目は省略

192.168.10.0/24がenp0s3へ、192.168.20.0/24がenp0s8へ関連付けられていれば、Ubuntu自身は両方のネットワークへ直接パケットを送信できます。しかし、Ubuntuの初期設定ではパケット転送機能が無効になっているため、異なるネットワーク間でパケットを転送できません。次のセクションでは、この機能を有効化する手順を解説します。

最初に、IPv4パケット転送の状態を確認します。

$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0

または

$ cat /proc/sys/net/ipv4/ip_forward
0

• 0：無効（IPv4パケットを転送しない）
• 1：有効（IPv4パケットを転送する）

無効の場合、enp0s3（192.168.10.0/24側）で受信したパケットをenp0s8（192.168.20.0/24側）に転送できません。

/etc/sysctl.dディレクトリに設定ファイルを新規作成し、IPv4パケット転送を有効化します。

例）/etc/sysctl.d/99-router.confを作成する場合

$ echo "net.ipv4.ip_forward = 1" | sudo tee /etc/sysctl.d/99-router.conf

$ cat /etc/sysctl.d/99-router.conf
net.ipv4.ip_forward = 1

ファイル名は、任意の名称で問題ありません。ここでは、99-router.confを使用します。

OS起動時に/etc/sysctl.d/99-router.confが読み込まれるため、この設定はサーバーを再起動しても自動適用されます。

以下のコマンドを実行して、/etc/sysctl.dディレクトリの設定ファイルを読み込み、実行中のカーネルに反映します。

$ sudo sysctl --system

設定を反映した後、IPv4パケット転送が有効になったことを確認します。

$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

または

$ cat /proc/sys/net/ipv4/ip_forward
1

IPv4パケット転送が有効になると、enp0s3で受信したパケットをenp0s8へ転送できるようになります。

まず、Kali Linuxの現在のネットワーク設定を確認します。

# IPアドレス
$ ip -br address
lo               UNKNOWN        127.0.0.1/8 ::1/128
eth0             UP             192.168.10.11/24 fe80::a00:27ff:fe79:3a0a/64

# ルーティングテーブル
$ ip route
192.168.10.0/24 dev eth0 proto kernel scope link src 192.168.10.11

192.168.10.0/24（自セグメント）宛てのルートのみ設定されています。

• 192.168.10.0/24：宛先ネットワーク
• dev eth0：パケットを送信するインターフェース
• proto kernel：カーネルがインターフェースのIPアドレスから自動生成したルート
• scope link：同一リンク上（つまり同じLAN内）に存在する宛先
• src 192.168.10.11：通信時に使用する送信元IPアドレス

192.168.20.0/24（Debianが属するセグメント）宛てのルートが存在しないため、Debianとは通信できない状態です。

Kali LinuxからDebianまでの通信経路をtracerouteコマンドで確認します。

$ traceroute 192.168.20.107
traceroute to 192.168.20.107 (192.168.20.107), 30 hops max, 60 byte packets
connect: ネットワークに届きません

Kali Linuxに192.168.20.0/24宛ての経路が設定されていないため、パケットを送信できず、接続に失敗します。

/etc/network/interfacesファイルにpost-upとpre-downを追記することで、インターフェース起動時にスタティックルートを自動追加し、停止時に自動削除できます。

eth0の設定に、以下の2行を追加します。

post-up ip route add 192.168.20.0/24 via 192.168.10.254 dev eth0
pre-down ip route del 192.168.20.0/24 via 192.168.10.254 dev eth0

• post-up：eth0が起動した後に指定したコマンドを実行する
• ip route add 192.168.20.0/24：192.168.20.0/24へのルートを追加する
• via 192.168.10.254：ネクストホップとしてUbuntuを指定する
• dev eth0：パケットを送信するインターフェース（省略可）
• pre-down：eth0を停止する前に指定したコマンドを実行する
• ip route del ...：追加したルートを削除する

固定IPアドレスを含めた設定例は、以下のとおりです。

auto eth0
iface eth0 inet static
    address 192.168.10.11
    netmask 255.255.255.0
    post-up ip route add 192.168.20.0/24 via 192.168.10.254 dev eth0
    pre-down ip route del 192.168.20.0/24 via 192.168.10.254 dev eth0

この設定により、Kali Linuxは192.168.20.0/24宛てのパケットをUbuntuの192.168.10.254へ送信します。

設定を反映するため、eth0を再起動します。

$ sudo ifdown eth0 && sudo ifup eth0

eth0の再起動が完了したら、ルーティングテーブルに変更が反映されているか確認します。

$ ip route
192.168.10.0/24 dev eth0 proto kernel scope link src 192.168.10.11
192.168.20.0/24 via 192.168.10.254 dev eth0

正常に設定されている場合は、192.168.20.0/24へのルートが表示されます。

• 192.168.20.0/24：宛先ネットワーク
• via 192.168.10.254：ネクストホップとなるゲートウェイ
• dev eth0：送信に使用するネットワークインターフェース

まず、設定前のDebianのネットワーク設定を確認します。

# IPアドレス
$ ip -br address
lo               UNKNOWN        127.0.0.1/8 ::1/128
enp0s3           UP             192.168.20.107/24 fe80::a00:27ff:feb7:f977/64

# ルーティングテーブル
$ ip route
192.168.20.0/24 dev enp0s3 proto kernel scope link src 192.168.20.107

Debianが認識しているルートは 192.168.20.0/24のみです。Kali Linux側（192.168.10.0/24）へのルートが存在しないため、Kali Linux宛てのパケットは送信できません。

スタティックルートを追加する前に、DebianからKali Linuxへtracerouteを実行します。

$ traceroute 192.168.10.11
traceroute to 192.168.10.11 (192.168.10.11), 30 hops max, 60 byte packets
connect: Network is unreachable

この時点では、Debianのルーティングテーブルに192.168.10.0/24宛ての経路がないため、Kali Linuxに到達できません。

一時的なスタティックルートはip route addコマンドで追加できますが、コマンドで追加したルートはOSを再起動すると失われます。再起動後もルートを維持するため、ネットワーク設定ファイルである/etc/network/interfacesに設定を追加します。

具体的には、enp0s3の設定ブロックにpost-upとpre-downの2行を追記します。

例）/etc/network/interfacesのenp0s3のみ抜粋

auto enp0s3
iface enp0s3 inet static
    address 192.168.20.107
    netmask 255.255.255.0
    post-up ip route add 192.168.10.0/24 via 192.168.20.254 dev enp0s3
    pre-down ip route del 192.168.10.0/24 via 192.168.20.254 dev enp0s3

• post-up：インターフェースが起動した後に実行するコマンドを指定する
• ip route add 192.168.10.0/24 via 192.168.20.254 dev enp0s3：192.168.10.0/24宛てのパケットをUbuntu（192.168.20.254）経由で転送するルートを追加する
• pre-down：インターフェースが停止する前に実行するコマンドを指定する
• ip route del 192.168.10.0/24 via 192.168.20.254 dev enp0s3：インターフェース停止時に上記ルートを削除する

/etc/network/interfacesの変更を反映するため、enp0s3を再起動します。

$ sudo ifdown enp0s3 && sudo ifup enp0s3

設定反映後、ルーティングテーブルに192.168.10.0/24への経路が追加されているかを確認します。

$ ip route
192.168.10.0/24 via 192.168.20.254 dev enp0s3
192.168.20.0/24 dev enp0s3 proto kernel scope link src 192.168.20.107

192.168.10.0/24 via 192.168.20.254 dev enp0s3の行が追加されていれば、スタティックルートの設定は成功です。これにより、Debianは192.168.10.0/24宛てのパケットをUbuntu（192.168.20.254）に送信できる状態になりました。

Ubuntuのターミナルで以下のコマンドを実行し、ICMPパケットのキャプチャを開始します。

 Ubuntuのターミナルで実行

$ sudo tcpdump -i any icmp

• sudo：パケットキャプチャに必要な管理者権限で実行する
• tcpdump：パケットキャプチャコマンド
• -i any：すべてのネットワークインターフェース（enp0s3/enp0s8）を監視する
• icmp：ICMPプロトコルのパケットのみを表示する

コマンドを実行すると、以下のメッセージが表示され、パケットの待ち受け状態になります。

tcpdump: WARNING: any: That device doesn't support promiscuous mode
(Promiscuous mode not supported on the "any" device)
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes

このターミナルは終了せず、そのままパケットキャプチャを継続してください。

$ sudo apt update
$ sudo apt install tcpdump

Kali Linuxのターミナルで、Debianに向けてpingを送信します。

 Kali Linuxのターミナルで実行

$ ping -c 1 192.168.20.107
PING 192.168.20.107 (192.168.20.107) 56(84) bytes of data.
64 bytes from 192.168.20.107: icmp_seq=1 ttl=63 time=0.978 ms

--- 192.168.20.107 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.978/0.978/0.978/0.000 ms

ここでは、-c 1を指定してICMP Echo Requestを1回送信します。

Kali Linuxからpingを実行すると、Ubuntuで動作しているtcpdumpに、以下のパケットが表示されます。

 Ubuntuのターミナル

17:09:50.131931 enp0s3 In  IP 192.168.10.11 > 192.168.20.107: ICMP echo request, id 18349, seq 1, length 64
17:09:50.131955 enp0s8 Out IP 192.168.10.11 > 192.168.20.107: ICMP echo request, id 18349, seq 1, length 64
17:09:50.132408 enp0s8 In  IP 192.168.20.107 > 192.168.10.11: ICMP echo reply, id 18349, seq 1, length 64
17:09:50.132412 enp0s3 Out IP 192.168.20.107 > 192.168.10.11: ICMP echo reply, id 18349, seq 1, length 64

 各パケットの内容

Kali Linuxから送信されたICMP Echo Requestは、最初にUbuntuのenp0s3へ入ります。その後、Ubuntuのルーティング処理によってenp0s8からDebianへ送信されます。

応答パケットは逆方向です。Debianが送信したICMP Echo Replyはenp0s8に入り、enp0s3からKali Linuxへ転送されます。

これにより、Ubuntuが2つのネットワーク間でIPv4パケットを転送するルーターとして正常に機能していることが、パケットレベルで証明されました。