- - PR -
iptablesを使ったF/Wで、NIC3枚挿しは可?
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2002-04-28 17:22
こんにちは。
Linux初心者です。 iptablesを使ってF/W(ファイアーウォール)の設置を検討しています。 ホームページを見ても、@Markitwを見ても、NICの2枚挿しによる運用が一般的 なようですが、「LAN/WAN/DMZ」という3つのセグメントに分けた形でのF/Wの運 用というのは、iptablesでは、可能なのでしょうか? また、設定例等が載っているホームページがあれば、教えていただけないでし ょうか? また、Laser5より発売されている「Laser5 Firewall」もちょっと考えてる のですが、どちらがいいのでしょうか? つかみ所のない質問で申し訳ありませんが、よろしくお願いいたします。 | ||||
|
投稿日時: 2002-04-29 08:04
>「LAN/WAN/DMZ」という3つのセグメントに分けた形でのF/Wの運
>用というのは、iptablesでは、可能なのでしょうか? できるはずですよ。ややこしいですけどね。 -i(--in-interface) オプションと -o(--out-interface)オプションでパケットの進入元・先を特定できます。(詳しくは@ITの記事を) ただ、最初は2枚さしでシンプルな設定にしてiptablesに馴れたほうが良いかもしれません。きちんとデザインを最初にするのも大事です。 3枚ざしではありませんがJFにあるHow-Toは参考になると思います。 | ||||
|
投稿日時: 2002-05-03 19:05
H2さん、レスありがとうございます。
iptables自身は、設定的にNICが何枚刺さっててもOKという認識でよろしいでしょうか? ようは、NICを3枚挿して、iptablesで制御することは可能だが、NICが3枚になることに よって、設定ミスなどが出てきてしまっ足りする可能性が高くなるため、難しいという 認識でいいのですかね・・・。 まだ、iptablesをさわったことがないので、はじめはNIC2枚挿しからの挑戦してみた いと思います。 Laser5より発売されている「Laser5 Firewall」と、iptablesはどう違うのかを教えて ください。よろしくお願いいたします。 | ||||
|
投稿日時: 2002-05-07 20:53
こんにちは、藤井と申します。
> iptables自身は、設定的にNICが何枚刺さっててもOKという認識でよろしいでしょうか? はい、そういうことです。 > ようは、NICを3枚挿して、iptablesで制御することは可能だが、NICが3枚になることに > よって、設定ミスなどが出てきてしまっ足りする可能性が高くなるため、難しいという > 認識でいいのですかね・・・。 > まだ、iptablesをさわったことがないので、はじめはNIC2枚挿しからの挑戦してみた いと思います。 ファイアーウォールというのを、パケットフィルタリングとNATを組み合わせることと想定しますと、まず単純な2枚から始めるほうがいいです。 http://www.linux.or.jp/JF/JFdocs/NAT-HOWTO.html http://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO.html http://www.linux.or.jp/JF/JFdocs/IP-Masquerade-HOWTO.html 少なくともこの辺は全読してください。とりあえずここの知識で組むことはできるようになります。 > Laser5より発売されている「Laser5 Firewall」と、iptablesはどう違うのかを教えて ください。よろしくお願いいたします。 ipchainsかiptablesの違いです。その違いは上記ページを見ればわかります。 ただ、組めるようになったとしても、それで防御できるようになるかというのはまた別問題です。 どういうことかというと、公開するサービスがどんなパケットを必要としているのか、んまた、iptablesが完全に読み込まれるまではどうするのかというように、UNIX全体の知識が無いと結局何をどういう順番で通していいかわからないのです。 TCP/IP、UNIXの知識が無いと結局は効果を上げることはできないです。実際にされてみるとわかると思います。 ですので、気長にじっくりと取り組むことを勧めます。頑張ってください。 | ||||
|
投稿日時: 2002-05-08 14:30
ふじいさん。
レスありがとうございます。 iptablesで、NICを何枚さしても、コマンドでルールを分けることで F/Wとしての動作をさせることができるの分かりました。 現在、当方にはFujitsuのネットシェルターというものがあるのです が、まあお義理にも親切なマニュアルでなくて非常に設定に苦労しま した。今後、ネットシェルターを使う気があまりしないので、Linuxの iptablesを使ったF/Wの運用に変えたいなと思っていました。 ふじいさんに紹介された文献をちょっと読んでみたいと思います。 ところで、iptablesをWEB上とかなんかGUIで操作できるユーティリ ティーとかはないのでしょうか?これって、手抜きの発想でもうしわけ ないのですが、あると便利だなと個人的には思ってしまいます。 | ||||
|
投稿日時: 2002-05-08 18:29
ですね。(^-^; 申し訳ないですが僕は知りません。 まあ、もしそういうツールがあったとしてもNICが2枚で、かつフィルターなどが簡単なら役に立つかもしれませんが、3枚以上でかつ内部のネットワークを隠す(たとえば外に公開するDNS情報を実際のネットワークとは違うものを提供し、その矛盾はNATで調整する)ようなことをやろうとすると、絶対に無理です、だってiptablesだけ見たら矛盾しているわけですから。(^-^; ネットワークのセキュリティーは、ファイアーウォールだけではなく各サービスとの連携も必要です。ですので上記のようなこともあり得ます。 実際ものすごく大変ですが、運用できるようになると製品のルーターではできない柔軟なネットワークを構築できます。 あまり役に立てなくてすみません。 | ||||
|
投稿日時: 2002-05-09 12:46
ふじいさん。
レスありがとうございます。 ネットシェルターは、富士通の誇るハードウェア型のファイアーウォールです。 LAN/WAN/DMZと3つのNICで、セグメントを分けられるようにできていて、WEBベ ースでの設定で一見簡単便利に見えるのですが、癖があって、なれるのにかなり 時間がかかりました。なんか富士通のネットワーク関連商品ってそんなのが多い んですが・・・。 で、もっと低価格でいろいろな設定ができるものはないかと思い、iptables にいきつきました。 とっても注目をされている分野のひとつであるのに、GUIベースの設定ツール が出ていないというのはやはりそれだけケースBYケースがたくさんあり、コ マンドベースでしか実現できないというのが実状のようですね。 とりあえず、夢を現実にさせるために、今はLASER5 Firewallを使ってのF/W 構築を検討しています。 もうすこし、iptablesを勉強してみたいと思います。 | ||||
|
投稿日時: 2002-05-09 13:21
こんにちは、藤井です。
すみません、LASER5 Firewallはipchainsです。iptablesではないです。ただ、フィルタリングの実戦例として参考になると思います。 サーバーを公開する為にはipchains単体では無理でipmasqadmなどが必要です。外部側からのパケットをフォーワードするのができないからです。 その辺を注意してください。頑張ってください。 | ||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。