- PR -

IP8個へ移行およびネットワーク構成について

1
投稿者投稿内容
yasuh95
会議室デビュー日: 2004/04/03
投稿数: 6
投稿日時: 2007-10-19 17:19
現在、家庭内サーバを構築しmail,web,dns サーバを公開しております。
IPアドレスは固定IP1つで、1台PCサーバ(CentOS4.5)で稼働しております。
回線はフレッツ光です。
コード:
[ONU]---[BA-8000Pro]---[HUB]---[server]  192.168.1.x
                         |-----[pc1]     192.168.1.x
                         |-----[pc2]     192.168.1.x

今回、InterLinkの固定IP8個(unnumbered)のサービスを利用して、
Mail,Web,DNS というように複数台のサーバを構築しようと考えています。
この時、今までのプロバイダ契約は残しクライアントPC用に利用する予定です。
Internetには InterLinkと現プロバイダの2セッションで接続します。

現在考えている構成は、
コード:
[ONU]---[HUB]---[MN8300]-(F)----[server1]
          |                  |--[server2]
          |                  |--[server3]
          |
     [BA-8000Pro]---[client PC]

InterLinkで発行される固定IPアドレスが、
xxx.xxx.xxx.0 から xxx.xxx.xxx.7 の場合、
[MN8300] xxx.xxx.xxx.1
[server1] xxx.xxx.xxx.2
[server3] xxx.xxx.xxx.3
といった具合にグローバルIPを割り振っていく予定ですが、
図中の(F)の場所にファイアウォール(パケットフィルタ)を入れたいと思っています。
このファイアウォールも Linux + iptables で設定する予定です。

全てのサーバへのパケットをここで集中して監視したい訳ですが、
この様な場合、ファイアウォールへのIPアドレスの割り当てを
どのように設定すればよいのかわかりません。
この構成ですと、ファイアウォールにサーバのグローバルIPを全て持たせて、
サーバマシンはローカルIPで運用するしかないでしょうか?

また、素人が考えた構成ですので、このネットワーク構成に固執するつもりはないので、
こういった場合の理想的なネットワーク構成などお聞かせ下さい。
よろしくお願いします。

BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-10-19 18:02
最近は自宅環境を企業並みにされる方も居るのですね。

コード:
                  DMZ(LAN4ポート)
[ONU]---[MN8300]---[HUB]---[server1]
          |           +----[server2]
          |           +----[server3]
          |
         [*]-------[HUB]---[clientPC]

MN8300のDMZポート機能を利用した構成だけで十分かと思われます。
# MN8300のGapNAT/マルチGapNAT部分を熟読して設定して下さい。

なお、セキュリティ(不正侵入)を気にされるなら[*]部分にProxy
を入れると良いでしょう。
# 私見では提示されたネットワーク図(下)のファイヤウォールには
# あまり意味がないように思えます。
yasuh95
会議室デビュー日: 2004/04/03
投稿数: 6
投稿日時: 2007-10-19 19:28
BackDoor様
ご指摘ありがとうございます。

MN8300マニュアルのGapNAT/マルチGapNAT部分は、熟読しているつもりではいます。
この場合(マニュアルの解説)、サーバの方にはグローバルIPを割り当てているのですが、
今まで(元投稿の上の図)はサーバマシンにてiptablesを動作させていたので、
今回、複数台サーバになるにあたって、それぞれのマシンでiptablesを動作させるより、
1台で集中管理した方がスマートに感じたので、(F)にファイアウォールを検討していた次第です。

そこで、MN8300のマニュアル通りの構成でファイアウォールを・・・と考えていたところ、
IPアドレス等の設定の仕方がわからなくなった次第です。

引用:

なお、セキュリティ(不正侵入)を気にされるなら[*]部分にProxy
を入れると良いでしょう。
# 私見では提示されたネットワーク図(下)のファイヤウォールには
# あまり意味がないように思えます。

このProxyですが、私自身がProxyに詳しくないので、
こちらはこれから詳しく調べてみようと思っています。
ただ、Clientの方ではInterLinkではどの道、固定IPとなってしまい、
Clientではそれをあまり望まないので、現在利用のISPの固定IPオプションを解除して、
非固定IPでネットアクセスしたかったので2セッションという理由です。

[F]部分のファイアウォールですが、ご指摘の通りこれを設置しない場合、
各サーバマシンでiptables を動作させるというということでしょうか、
それとも、どちらにしてもあまり意味がないということでしょうか?

企業並みと言われれば、ふと気づくと考えていることは個人環境にしては
大げさな気がします・・・。
最近のスパム対策などで、逆引きができないメールサーバの
信頼性が落ちているように感じており(InterLinkで逆引き対応できそうなので)、
またある程度XENなどの仮想化を利用(チャレンジ)して
構築していきたいと思っています。

BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-10-23 14:34
難しく考えすぎているように思いますが・・・。

引用:
yasuh95さんの書き込み (2007-10-19 19:28) より:

今まで(元投稿の上の図)はサーバマシンにてiptablesを動作させていたので、
今回、複数台サーバになるにあたって、それぞれのマシンでiptablesを動作させるより、
1台で集中管理した方がスマートに感じたので、(F)にファイアウォールを検討していた次第です。

そこで、MN8300のマニュアル通りの構成でファイアウォールを・・・と考えていたところ、
IPアドレス等の設定の仕方がわからなくなった次第です。

ただ、Clientの方ではInterLinkではどの道、固定IPとなってしまい、
Clientではそれをあまり望まないので、現在利用のISPの固定IPオプションを解除して、
非固定IPでネットアクセスしたかったので2セッションという理由です。

前のコメントは保有のBBルータを継続使用することが前提条件だと思っておりました。
# LINUXでファイヤウォール専用機を仕立てるならMN8300の代わりにする方法もアリ
# だと思われますが、設定によってはセキュリティリスクが高いので推奨はしません
# でした。

またClientはIPマスカレードによりプライベートアドレスに出来るはずだと思います。

引用:

[F]部分のファイアウォールですが、ご指摘の通りこれを設置しない場合、
各サーバマシンでiptables を動作させるというということでしょうか、
それとも、どちらにしてもあまり意味がないということでしょうか?

ここはWebサーバ等の公開サーバに固定IPを割付け、DNS登録した上でMN8300の
DMZに設置するように考えておりました。
従ってMN8300のACLでのポートフィルタリング + ファイヤウォール新設にはあまり
意味が無いと思いました。
yasuh95
会議室デビュー日: 2004/04/03
投稿数: 6
投稿日時: 2007-10-28 15:52
BackDoor様
ご指摘、ありがとうございます。
非常に助かります。

引用:

難しく考えすぎているように思いますが・・・。

やはりそうですか・・・。

引用:

前のコメントは保有のBBルータを継続使用することが前提条件だと思っておりました。
# LINUXでファイヤウォール専用機を仕立てるならMN8300の代わりにする方法もアリ
# だと思われますが、設定によってはセキュリティリスクが高いので推奨はしません
# でした。

私もMN8300を使用せずにLinuxでPPPoEのセッションを管理し、ファイヤウォールという具合に
設定できればと思っていたのですが、現時点でそこまでのスキルがないと判断し、躊躇しています。

引用:

ここはWebサーバ等の公開サーバに固定IPを割付け、DNS登録した上でMN8300の
DMZに設置するように考えておりました。
従ってMN8300のACLでのポートフィルタリング + ファイヤウォール新設にはあまり
意味が無いと思いました。

MN8300 のマニュアルを熟読し頭の中でネットワークおよび設定を
イメージしている段階なのですが、MN8300マニュアル中でいまいち理解できていないのが、
マルチGapNAT利用時に、DMZポートは利用できるのか?というところです。
オンラインPDFですと、
http://www.ntt-me.co.jp/mn/mn8300/manual/mn8300ml200all.pdf
の 124・135ページ(AdobeReaderのページ番号)では、
マルチGapNATの場合は、DMZポート[使用しない] となっており、
GapNATの設定(120・126ページ)では[使用する]となっているのに比べて、
マルチGapNATの設定でDMZポートの利用ができるのか不安になります。
最終的にBackDoorさんに掲示していただいた図の様な構成で、
サーバを運用していこうと考えておりますが、
DMZポートをHUBで繋いでということができるのかが不安でいます。

MN8300ではDMZポートが物理的に1つしかない為、この様な設定例として扱っているのか、
マルチGapNAT設定でDMZポート[使用する] にしてHUBを利用して、
BackDoorさんの図の様な設定が可能なのかわからないでいます。

製品固有の情報で申し訳ないですが、MN8300に精通した方、どなたかご存じの方いらっしゃいましたら、
DMZポート利用の可否・設定例等教えて頂けると助かります。
MN8300で、複数固定IP使用時の情報がWebでは非常に少ないと思います。
よろしくお願いします。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-10-29 09:56
そんなに心配することじゃないと思いますが。

引用:
yasuh95さんの書き込み (2007-10-28 15:52) より:

マルチGapNAT利用時に、DMZポートは利用できるのか?というところです。
オンラインPDFですと、
http://www.ntt-me.co.jp/mn/mn8300/manual/mn8300ml200all.pdf
の 124・135ページ(AdobeReaderのページ番号)では、
マルチGapNATの場合は、DMZポート[使用しない] となっており、
GapNATの設定(120・126ページ)では[使用する]となっているのに比べて、
マルチGapNATの設定でDMZポートの利用ができるのか不安になります。
最終的にBackDoorさんに掲示していただいた図の様な構成で、
サーバを運用していこうと考えておりますが、
DMZポートをHUBで繋いでということができるのかが不安でいます。

オンラインマニュアル(120ページ)を見た限りでは可能だと思います。
ご指摘の126ページは誤解されやすい表現ですが、オンラインゲーム等での
使用を考慮した内容ですね。
# 通常プライベートIPアドレスだけで構成されるLAN内にグローバルIPアドレス
# の機器が存在した場合にLAN内での相互通信を可能にするための拡張機能と
# 考えて下さい。
# Internet公開サーバにグローバルアドレスを振りDMZに置くケースでは無いと
# 認識願います。

通常ルータには余計なポートは実装していないので、使用アドレスが多い場合
リピータHUBやSW-HUB等の機器を使用することはごく普通の使い方です。
# LAN側には3ポート残りますが、4台以上接続したい機器があるなら、DMZと
# 同様にこちらにもHUBを設置すればOKです。
yasuh95
会議室デビュー日: 2004/04/03
投稿数: 6
投稿日時: 2007-10-30 23:57
BackDoorさん、お世話になっております。

つまらないレベルの悩みにお付き合い頂きまして、ありがとうござます。
おかげさまで、とりあえずできそうだという所まで自分で整理できましたので、
後はIP8個の契約をしてみて、なんとか手をつけてみたいと思っています。

また何かありましたら、こちらの会議室を利用するかもしれませんが、
宜しくお願い致します。
ありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)