Network / OS => ゲートウェイサーバ構築 > 2.ここで構築するネットワーク構成について
全てのローカルホストは、ネットワーク型ファイアーウォールを通過する事になるため、ファイアーウォールを構築する事が出来ます。また、初めて Linux を使用したネットワーク構築を学習リソース と言う意味でも、適切な構成だと思います。
eth1 (192.168.1.56) に接続された 192.168.1.0/24 に存在するクライアントは、サーバーから外へ出て行く事が出来ません。 ルーターは、外方向(WAN側)にグローバルIPアドレスと、内側(自信のプライベートアドレス) 192.168.0.1 が割当てられており、IPマスカレード(NATP)により相互にIPアドレス変換を行っています。
図で示すブロードバンドルーターが行っている IPマスカレード と同じように、eth0(192.168.0.56) と eth1 (192.168.1.56) を繋げばよいわけです。つまり、IPルーターを構築する事が最初の目的となります。これらの異なるセグメントのネットワーク接続は、kernel レベルで実装されている iptables を使用することで実現します。
このネットワーク構成では、3つの異なるネットワークが存在しています。
一般のグローバルIPアドレスが1つ提供されるインターネット接続サービス(ADLS/FTTH等)の回線を用いて、小規模オフィス、SOHO、ホームサーバーを構築する場合、最もオーソドックスなネットワーク構成です。トラフィックの集中管理という点に注目して下さい。
もし、DMZに対応したブロードバンドルーター をご利用であれば、サーバーをDMZ領域に設置する事で、今回構築するゲートウェイサーバー(上記)と同じハード構成で以下のネットワークを構築できます。(下図)
DMZを利用したネットワーク構成例
ローカルエリアを外部侵入から防ぐ意味では、セキュリティに優れますが、サーバーをDMZ領域(非武装地帯)に設置することでサーバーは直接インターネッ ト側にさらされることになります。
サーバー側のファイアーウォールの設定は重要になるため、特に初めてサーバー、ネットワークを構築するような方は避けた 方がよい構成です。仮に、このケースで構築する場合は、DMZ領域(非武装地帯)での作業は決して行わず、ファイアーウォール下で行い、十分検証した上で DMZに設置する必要があります。
また、 192.168.1.0/24 へのフィルタリングは、ルーターに依存する事になり、ルーターの信頼性が重要になります。トラフィックの集中管理はルーター側の仕事となるため、詳細な フィルタリング設定が行えません。(特に一般家庭・SOHO向けの安価なルーターでは不安)
こちらの例と比較してみてください。
http://yougo.ascii24.com/gh/76/007659.html
NIC 3枚挿しで、一つをDMZ領域に囲い込む方法です。この例では、全てのトラフィックを設置したファイアーウォールを通過させています。
このように、小規模なネットワークであっても、目的に応じてネットワークをデザインする必要があります。
この標題のトップへ 2 / 11
