- - PR -
DNS BINDの設定について(及び ipchains の設定について)
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2002-04-16 12:16
いつも分かりやすいご説明、感謝しております。
なるほど あなたのおっしゃる事は明確にしてかつ即時理解できます。 大変勉強になります。ありがとうございます。 がるがる 様 のおっしゃるポリシーに則り、再度フィルタの設定を見直します。 また、ここまでお詳しい方なら次のこともお分かりになるのでしょうか。 スレッドも熱くなってきましたところで、恐縮ながら、輪をかけてご質問させていただきたいと思うのですがよろしいでしょうか。 もちろん、本件に深く関連する事項でございます。 ------------------------------------------------------------- 首記の構成で、ローカルには [ドメインコントローラ Win2000Server] 192.168.1.210 が設置されております。 そこではクライアントのアカウントを管理しておりまして、アクセス権の設定などに大活躍しております。 ところが、メールサーバーは [外界(今回の場合DMZ?サーバが置いてある領域?)] で、Redhat7.2 上で qmail を運用しております。(211.x.x.5) 従いまして、ユーザー管理が Win2000Server と Redhat の両方でユーザー管理をしており、非常に面倒です。 そこでこの度、どちらか一方でユーザー管理を統合して行いたいと思います。 その方法として samba を利用してwin2000Serverにユーザー認証を行わそうと思います。 1.上記目的を達成するために samba を使うことは間違いではないでしょうか。。 2.間違ってない場合、ファイアーウォールに空ける穴は いかほどでしょうか。 3.セキュリティポリシー上、このような運用は好ましいでしょうか。。 ------------------------------------------------------------- お手数ですが、もしおわかりでしたらご助言のほどよろしくお願い申し上げます。 [ メッセージ編集済み 編集者: okumura 編集日時 2002-04-16 12:20 ] | ||||||||
|
投稿日時: 2002-04-17 11:27
ども。遅くなって申し訳ない。
で、なのですが。私はWindows系は不得手で、もう一つ不明な部分が多々あります。重ねて申し訳ない。 ただ、とりあえず「一般的な概念から」発言できそうな部分を少しだけ。 多分、下記の状態で「qmailにWindowsアカウントを直接認識させる」のは、果たして得策なのかなぁ、と。端的に言うと「多分避けたほうがよい状態」であると思われます。 というのも、元々メールアカウント==ログインアカウントというのは、単に便宜的にやっているに過ぎない状況がありまして。 で、Windowsのユーザアカウントは、それはそれでまた別の意味があると思うんですね。 なので、手間なのは確かにわかるのですが、基本的には「切り分けて」考えたほうがよいように思います。 ここで、Windowsがコマンドでユーザの作成とかが出来るんなら「便利なシェルスクリプト」を作成しちゃうところなんですけどねぇ。そこが、Windows(というかGUI管理全般)のしんどいところ。 ちとこの辺はわからないのですが、もしWindowsで「ユーザのリストがテキストで吐ける」ようであれば、それを使って、Linuxでシェル組んで、時々チェックとかすると楽なのかなぁ、と思います。 あと、SMB(Samba)の穴をF/Wにあけるのは、基本的に「かなり危険」だと思います。無論、発信もとのIP(ソースIP)を指定して、という形になるので、開けっぴろげではないとは思うのですが。 SMBは「なにはなくともまず塞ぐ」筆頭のポートなので:-P 遅くなった上にあまり有効な回答が出来ずすみません。 それでは、また。 | ||||||||
|
投稿日時: 2002-04-17 11:32
いえいえ、「得策ではない」ことがお聞きできただけで十分です。
それよりも、お忙しいところ怒涛の質問にご回答いただきまして 本当にありがとうございました。 他にも、このスレッドをご覧になられた方で、ご意見のある方は よろしくお願いいたします。 | ||||||||
|
投稿日時: 2002-05-23 12:24
こんにちは、藤井と申します。途中からで申し訳ないんですが、
どういうポリシーにするのか、具体的には 1. 基本的に不許可にして、必要なもののみ通す。 2. 通したくないものを不許可にする。 でどうやら1のようですが、最近iptablesなのでipchainsは忘れ気味なのですが、セキュリティーを考えるならPOLICYはREJECTではなく、DENYでいいですよ。存在自体知らせないほうがいい。 明示的に止めてないものに関しては、REJECTされてますので、そこは大丈夫です。
う〜ん、まずこの設計自体まずいです。DMZをつくるにはNICが3枚必要ではなくて、3枚使ってもできるし、あなたの今の構造でもできます。ただ、そのように設定していないから機能してないだけです。 設計自体から考え直すことをお勧めします。また、それに伴う説明はここでは無理ですので、一度書籍などをよく読むことをお勧めします。 おすすめは http://www.linux.or.jp/JF/ こちらのiptables、ipchains関係の書類で十分構築できます。ただ、どのパケットをどうしたらとか、具体的なテクニックは書籍などで勉強したほうがいいです。 iptablesのほうがNATとフィルタリングを同時に設定できていいですよ。ipchainsを使わなければいけない理由があるのでしょうか。 また、一番最初の質問に答えますが、外部にそう思わせたいネットワーク構造をBINDに設定して、iptablesなどDNATでそのつじつまを合わせれば大丈夫です。 | ||||||||
|
投稿日時: 2002-05-23 12:34
こんにちは、藤井です。
Windowsのクライアントって、名前解決の為にしょっちゅうブロードキャストに発信してくれるじゃないですか(笑)。 137~139をあけると、Internetに通ってしまうので、ふさいで欲しいです。クラックなのか直接つなげているバカなのか見分けがつかない。(^-^; | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。