.
Linux 活用ガイド:目次

サーバ構築ガイド

レンタル ガイド

ショップ 構築ガイド

情報漏洩対策

NIC2枚挿しによる ゲートウェイ サーバー構築

一般のインターネット回線を利用した、SOHO/小規模オフィス/ホームサーバーに適していると思われるネットワーク構成を例に、iptables を利用したパケットフィルタリングによるネットワーク構築の手順を説明します。

ここで構築するネットワーク構成イメージ

このネットワーク構成では、3つの異なるネットワークが存在しています。

  • グローバルIPアドレス (ルーター外側)192.168.0.1 (ルーター内側)
  • 192.168.0.56 (ゲートウェイサーバー外側)
  • 192.168.1.56 (ゲートウェイサーバー内側)
  • 192.168.1.0/24 (ローカルホスト)

上記のネットワーク構成では、192.168.1.0/24 に存在するローカルホストは、ゲートウェイサーバーを経由しなければインターネットに接続する事が出来ません。このようにトラフィックを統括することで、ゲートウェイサーバーは中継だけでなく、内側に対しても、パケットフィルタリングによるファイアーウォール 、セキュリティ ポリシーが適用できるようになります。

iptables に関して

ゲートウェイサーバーによりトラフィックを統括するネットワークを構築は、パケットレベルでのフィルタリングを行う事で実現します。これらは、カーネルレ ベルでパケットを抑制するipbables を使用します。このため、実際のネットワークを流れるパケットと、ネットワーク構造自体を理解している必要があり、ネットワークに関する専門知識が要求さ れます。

初心者には荷の重いパケットフィルタリング設定ですが、これらの機能は、サーバー(アプリケーション) セキュリティ と平行して、ネットワーク セキュリティ を考える上で非常に重要な機能です。Linux を用いてネットワークを構築する上で避けて通る事は出来ません。

ネットワークサーバー構築 全体を通した流れ

ネットワーク構成、設置する場所、サーバーの役割によって Linux サーバー構築の手順はそれぞれですが、ネットワーク型ファイアーウォールを意識したサーバー構築は以下の手順になると思います。

  1. OS のインストールとデバイスの認識
  2. ネットワークのデザインと設定
  3. ファイアーウォール / パケット フィルタリング ルールの適
  4. サーバープログラムのインストールと設定
  5. ログ監視・及び侵入検知システムの構築
  6. 保守

2 ~ 6 は構築前にそれぞれのセキュリティ ポリシー策定は必要

ここで構築するゲートウェイサーバーは、2 の作業にあたり、異なるネットワーク セグメントを接続する IPルーター構築について説明しています。ファイアーウォールについては、ここで構築したゲートウェイサーバーを継承する形で、別のカテゴリでの説明を予定しています。

このコンテンツの構成

初めて Linux を使ってネットワークを構築する上で、知っておいた方が話が見えてくると思われる内容を先に説明しています。

  1. 設定に関して ( 5 ~ 8 ページ )
    1. 実際の設定は、右メニュー の 5 ~ 8 ページで紹介しています。
  2. セキュリティに関する補足 ( 9 ~ 10 ページ )
    1. ファイアーウォール構築に関する補足、ヒントについて紹介しています。

事前に必要なもの

取敢えず RHEL系 LInux に X Windows (KDE or Gnome)がインストール済みである事を前提とします。(初心者が設定を行い易いようにGUI ツールを活用しているため)
リモート保守を前提にした ファイアーウォール、Linuxルーターを専用機を構築するのであれば、X - Wiodow GUI ツール等、一切必要ないものです。

Linux OS
ここでは、CentOS-4 を使用していますが、 RHEL4系/FedoraCore または、CentOS などの RHELクローンOSであれば、殆ど同じだと思います。初心者が設定を行い易いように、X Window 備え付けの GUI ツールをベースに解説しています。そのため、ディストリビューションによる違いがあるかもしれません。
kernel-2.4 以上
iptablesによってカーネルにロードし、メモり内で実行されるパケットフィルタリングとなります。iptables は kernel-2.4 以上を採用しているディストリビューションであれば、使用できます。kernel-2.2 以前では ipchains となりますが、ここでは説明していません。
NIC2枚とデバイスが認識している事
異なるセグメントのネットワークの橋渡しを行うため、NIC は2枚必要になります。また、二つのデバイスは、既に認識されている事が条件です。
それぞれ eth0 (WAN側) / eth1 (LAN側) と仮定します。適宜置き換えて下さい。
ルーターについて
ルーターはIPマスカレード(NATP NAT+)に対応した、標準的な家庭用ルーターであれば特に問題ありません。サーバー公開前であれば、IPマスカレード等、ポートを開く必要はありません。ルーター自体が簡易ファイアーウォールとなっています。

NIC について
ここでは、Windowsでは退役軍人(NT以降ドライバがない)扱いの、DECチップを搭載したENW-9501F(DECチップ)2枚を使用しまし た。古いカードですが、100base-Tでは現在でも優れたパフォーマンスを持っており、Linuxサーバーには最適です。7、8年、様々なディストリ ビューションで使ってきましたが、認識トラブルは一度も経験がありません。中古で見つけたら即買いです!

bottom_mark
ページ最上部
ページ最上部 前のページ