一般のインターネット回線を利用した、SOHO/小規模オフィス/ホームサーバーに適していると思われるネットワーク構成を例に、iptables を利用したパケットフィルタリングによるネットワーク構築の手順を説明します。
ここで構築するネットワーク構成イメージ
このネットワーク構成では、3つの異なるネットワークが存在しています。
上記のネットワーク構成では、192.168.1.0/24 に存在するローカルホストは、ゲートウェイサーバーを経由しなければインターネットに接続する事が出来ません。このようにトラフィックを統括することで、ゲートウェイサーバーは中継だけでなく、内側に対しても、パケットフィルタリングによるファイアーウォール 、セキュリティ ポリシーが適用できるようになります。
ゲートウェイサーバーによりトラフィックを統括するネットワークを構築は、パケットレベルでのフィルタリングを行う事で実現します。これらは、カーネルレ ベルでパケットを抑制するipbables を使用します。このため、実際のネットワークを流れるパケットと、ネットワーク構造自体を理解している必要があり、ネットワークに関する専門知識が要求さ れます。
初心者には荷の重いパケットフィルタリング設定ですが、これらの機能は、サーバー(アプリケーション) セキュリティ と平行して、ネットワーク セキュリティ を考える上で非常に重要な機能です。Linux を用いてネットワークを構築する上で避けて通る事は出来ません。
ネットワーク構成、設置する場所、サーバーの役割によって Linux サーバー構築の手順はそれぞれですが、ネットワーク型ファイアーウォールを意識したサーバー構築は以下の手順になると思います。
2 ~ 6 は構築前にそれぞれのセキュリティ ポリシー策定は必要
ここで構築するゲートウェイサーバーは、2 の作業にあたり、異なるネットワーク セグメントを接続する IPルーター構築について説明しています。ファイアーウォールについては、ここで構築したゲートウェイサーバーを継承する形で、別のカテゴリでの説明を予定しています。
初めて Linux を使ってネットワークを構築する上で、知っておいた方が話が見えてくると思われる内容を先に説明しています。
取敢えず RHEL系 LInux に X Windows (KDE or Gnome)がインストール済みである事を前提とします。(初心者が設定を行い易いようにGUI ツールを活用しているため)
リモート保守を前提にした ファイアーウォール、Linuxルーターを専用機を構築するのであれば、X - Wiodow GUI ツール等、一切必要ないものです。
NIC について
ここでは、Windowsでは退役軍人(NT以降ドライバがない)扱いの、DECチップを搭載したENW-9501F(DECチップ)2枚を使用しまし た。古いカードですが、100base-Tでは現在でも優れたパフォーマンスを持っており、Linuxサーバーには最適です。7、8年、様々なディストリ ビューションで使ってきましたが、認識トラブルは一度も経験がありません。中古で見つけたら即買いです!
この標題のトップへ 1 / 11
