- PR -

DNS BINDの設定について(及び ipchains の設定について)

1|2|3 次のページへ»
投稿者投稿内容
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2002-04-11 18:14
 いつもお世話になっております。
下記の構成で、[ローカルサーバー/Apache]の中のHTMLドキュメントに
インターネットからアクセスできるようにするためには
BINDの設定をどのようにすればよろしいのでしょうか。。

-----------------------------------------------------
[InterNet]
  |
  |
[ルータ]211.x.x.1
  |
  |----------[DNSサーバー/BIND]211.x.x.2
  |----------[公開WEBサーバー/Apache]211.x.x.4
  |
  |      211.x.x.3
[ファイヤーウォール]
  |      192.168.1.1
  |
[ローカルサーバー/Apache]192.168.1.2
-----------------------------------------------------

アドバイスおねがいいたします。


[ メッセージ編集済み 編集者: okumura 編集日時 2002-04-15 11:21 ]
やまうち
会議室デビュー日: 2002/04/11
投稿数: 7
投稿日時: 2002-04-11 18:40
BINDの設定ではどうにもなりません。

ファイルを公開用WEBサーバにコピーするとか、
ファイヤーウォールでポートフォワードすると
かしないと。
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2002-04-11 18:55
 ご指摘ありがとうございました。
やはり無理なのですか。。

 仮にポートフォワーディングをして運用したとしてもそれはセキュリティー上好ましくないのでしょうか。。また、このように運用する意味もなかったりしますでしょうか。。
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2002-04-12 14:19
ども。

んと。「ファイアウォール(以下F/W)」と呼んでいるものが実際になにをやっているのか、というのは一つのポイントになるのですが(念のため。単体の方式としての「ファイアウォール」ってのは存在しません。いくつかの手法の総称がそう呼ばれているだけです(商品名としては存在しているんですけどねぇ))。

おそらく、この図を見ると、NAPT(IPマスカレードとか呼ばれてるもの)だと思われます(NATだとやだなぁ)。

もしF/WがNATのみで、かつポートフィルタリングをやっているだけなら、80番に穴をあけるだけなので簡単なのですが。
もしF/WがNAPTやってるんだとしたら、中に入るのは原則無理ですし、また、変に迂回したりしないほうがよいです。

したがって、NAPTの場合「直接は無理」です。
あとは、間接的な方法になるのですが。
まぁ、一番簡単なのは、公開サーバにファイルのコピーを定期的にUpするようにして(その辺は自動でも出来るとおもふ)、というのが割合によろしいのではないでしょうか?

ただ、いずれにしても、セキュリティーを損なわないように気をつけないといけないのですが。

なにか参考になりましたでしょうか?
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2002-04-12 16:07
 おおせの通り[ファイヤーウォール]と書いたマシンでは
IPマスカレードをしております。

 そもそも今回の構成の目的は以下のとおりです。

数十名でWEBベースのグループウェアを使用します。(PostgreSQL+PHP)
[公開WEBサーバー/Apache]上に構築すれば何も問題は起こらないのですが、
圧倒的にローカルセグメント(図で言う 192.168.1.0/24 のセグメント)
からのアクセスが多いので、192.168.1.215 にローカルサーバーを置いて
グループウェアを運用したかったのです。

 また、がるがる 様 はフィルタリングにお詳しいようですので、ipchainsの
設定など、掲載しましたら見ていただけますでしょうか。。
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2002-04-13 22:59
ども。
なるほろ、状況はおおむね。

ただ、その状況下ですと、
・ローカルからもグローバルからもアクセスがある
・データの二重管理は好ましくない
ってな辺りから考えて、恐らく、ちとF/Wに負担がかかったとしても、外に置いておいたほうが安全なように思えます。

んで、ipchainですが。
んなに詳しいわけではないので、ちと不安です。
ただ、のっけていただけるのであれば、わしがわかる範囲程度でよろしければ多少は発言できると思います。
で、もし載せる場合、ですが。「絶対に」IPアドレスをそのまま書かないでください。万が一の危険防止です。
特にグローバルに関しては、ダミーのアドレスに変換してくださいね。

それでは、また。
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2002-04-15 09:47
 ご返答遅れまして申し訳ございません。
構成図の[ファイヤーウォール]のipchainsの設定です。
[ファイヤーウォール]には、NICが2枚刺さっておりまして
eth0:192.168.1.1
eth1:211.x.x.3
となっております。ローカル側は複数のLANセグメントに分かれております。
(192.168.1.x/24 〜 192.168.x.x/24)

-------------------------------------------------------------------------
Chain input (policy REJECT: 102300 packets, 14958747 bytes):
pkts bytes target prot opt tosa tosx ifname mark outsize source destination ports
0 0 DENY all ------ 0xFF 0x00 !lo 127.0.0.0/8 0.0.0.0/0 n/a
40885 4488K ACCEPT all ------ 0xFF 0x00 eth0 192.168.0.0/16 0.0.0.0/0 n/a
0 0 ACCEPT udp ------ 0xFF 0x00 eth1 211.x.x.2 211.x.x.3 53 -> *
353 84259 ACCEPT udp ------ 0xFF 0x00 eth1 202.x.x.x 211.x.x.3 53 -> *
16414 12M ACCEPT tcp ------ 0xFF 0x00 eth1 0.0.0.0/0 211.x.x.3 80 -> *
0 0 ACCEPT tcp ------ 0xFF 0x00 eth1 0.0.0.0/0 211.x.x.3 443 -> *
5866 8759K ACCEPT tcp ------ 0xFF 0x00 eth1 0.0.0.0/0 211.x.x.3 20 -> *
218 19937 ACCEPT tcp ------ 0xFF 0x00 eth1 0.0.0.0/0 211.x.x.3 21 -> *
0 0 ACCEPT tcp ------ 0xFF 0x00 eth1 211.x.x.5 211.x.x.3 143 -> *
143 6920 ACCEPT tcp ------ 0xFF 0x00 eth1 211.x.x.5 211.x.x.3 110 -> *
0 0 ACCEPT tcp ------ 0xFF 0x00 eth1 211.x.x.5 211.x.x.3 25 -> *
128 109K ACCEPT tcp ------ 0xFF 0x00 eth1 0.0.0.0/0 211.x.x.3 * -> 22
599 41434 ACCEPT tcp ------ 0xFF 0x00 eth1 0.0.0.0/0 211.x.x.3 22 -> *
Chain forward (policy DENY: 0 packets, 0 bytes):
pkts bytes target prot opt tosa tosx ifname mark outsize source destination ports
19115 1395K MASQ all ------ 0xFF 0x00 * 192.168.0.0/16 0.0.0.0/0 n/a
Chain output (policy REJECT: 33 packets, 6019 bytes):
pkts bytes target prot opt tosa tosx ifname mark outsize source destination ports
0 0 ACCEPT all ------ 0xFF 0x00 lo 0.0.0.0/0 0.0.0.0/0 n/a
28188 22M ACCEPT all ------ 0xFF 0x00 eth0 0.0.0.0/0 192.168.0.0/16 n/a
64625 7778K ACCEPT all ------ 0xFF 0x00 eth1 211.x.x.3 0.0.0.0/0 n/a

-----------------------------------------------------------------
以上よろしくお願いいたします。
BASE
大ベテラン
会議室デビュー日: 2002/03/13
投稿数: 178
投稿日時: 2002-04-15 10:44
ひとつ疑問なんですが、
InternetからのアクセスよりLANアクセスが多いからといって
LAN内に納めてしまうのはどうなんでしょうか?
他のWebサーバと同じ場所に置いても問題ないように思いますが・・・
少なくとも、FireWallを突き抜けてくる通信(この場合はPort80でしょうか)
をわざわざ開けるのはどうなのかなぁ?と思います。
#って、がるがるさんも同じようなこと書いてますが(汗

正直、Port80突き抜けでLAN内に入ってこれるような現状では
FireWallの効用がいまいちな用な気もします。
#ローカルサーバへのPort80以外への通信をFireWallで遮断、
#というような形ですが、公開サーバと同じようにサーバ単体で
#Filterを行えば良いのではないかと思いますが・・・
1|2|3 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)