投稿日:2007年05月21日 作成鷹の巣

No.21619 複数固定IP&YAMAHA RT58i での環境構築



複数固定IP&YAMAHA RT58i での環境構築

No.21619 投稿時間:2007年05月21日(Mon) 17:06 投稿者名:初構築 URL:

お世話になっております。


先日こちらでアドバイスを頂き、
ネットワーク構成を変えようとしています。
しかし、ここにきて根本的な事で悩んでいます。

サーバーへ与えるグローバルIPアドレスを、
固定プライベートIPに変換するかしないかです。


++++++++
■環境
・回線
 ソフトバンクテレコム「ULTINA Internet」
 ブロードバンドアクセス フレッツ・プラン(ファミリープランIP8)

・ルーター YAMAHA RT58i 1台
・クライアント WindowsXP  9台
・サーバー FedoraCore6 5台

※足りない情報が御座いましたら御指摘下さい。

+++++++++
■説明用
・グローバルIPは「123.123.123.0/29」
・ルーターは「123.123.123.1」を使用
・サーバーへは「123.123.123.2~6」をあてる

++++++++
■検討中の案

【案A】公開サーバーもプライベートアドレス空間に含める
「123.123.123.1」をIPマスカレードでクライアント機(Windows)へ。
「123.123.123.2~6」を「192.168.0.2~6」としてサーバー機へ。
参考 ⇒ http://netvolante.jp/support/example/command/PPPoE/21.6.html


【案B】公開サーバーはグローバルアドレス空間に置く
「123.123.123.1」をIPマスカレードでクライアント機(Windows)へ。
残り「123.123.123.2~6」を各公開サーバーへ割り当てる。
参考 ⇒ http://netvolante.jp/support/example/command/PPPoE/21.5.html

+++++++++
■希望している環境
・外部からはグローバルIPで五台のサーバーへアクセスできる事
・内部のクライアント(Windows)が同一のワークグループに属せる事
・内部のクライアント(Windows)からsambaサーバーが利用できる事
・内部に設置したメールサーバを内部・外部のクライアント(Windows)が利用できる事
・内向きネームサーバーを利用して内部・外部からドメインでアクセスできる事

++++++++


上記の希望している環境を運用しやすいのは、
【案A】でしょうか?それとも【案B】なのでしょうか?


ご指摘やアドバイスなどを頂けたらと思います。
何卒、宜しく御願い致します。


Re: 複数固定IP&YAMAHA RT58i での環境構築

No.21620 投稿時間:2007年05月21日(Mon) 22:21 投稿者名:わらび URL:

選ぶなら、案A。

>・内部のクライアント(Windows)が同一のワークグループに属せる事
>・内部のクライアント(Windows)からsambaサーバーが利用できる事
この辺りから、サーバをクライントと同じセグメントに置いたほうが
いいのですが、セキュリティ的にどうかと思いますね。

グローバルIP,プライベートIPの必要性について
もう一度整理しては、如何でしょうか?

グローバルIPの理由として別スレッドでの話しだと、
WEBやMAILを複数ドメイン運用したい
とありましたが、それなら
バーチャルドメインという方法もあります。

要件次第では、以前のグローバルIPひとつで
ことが足りるかもしれません。


Re^2: 複数固定IP&YAMAHA RT58i での環境構築

No.21621 投稿時間:2007年05月22日(Tue) 10:53 投稿者名:初構築 URL:

わらび様


アドバイス有難う御座いました。
まずは、御指摘の下記内容なのですが、

> グローバルIP,プライベートIPの必要性について
> もう一度整理しては、如何でしょうか?
>
> グローバルIPの理由として別スレッドでの話しだと、
> WEBやMAILを複数ドメイン運用したい
> とありましたが、それなら
> バーチャルドメインという方法もあります。
> 要件次第では、以前のグローバルIPひとつで
> ことが足りるかもしれません。

確かにその通りかもしれません。

今回の環境構築の「目的」は下記のとおりです。
・技術者各位のサーバー構築・運用スキルの向上

わらび様の御指摘のとおりサービスインはIP一つで行えますが、
独立した環境を構築しておく事で、他プロジェクトに与える影響を恐れず、
自由に開発できればと考えています。

もちろん、それらも含めて一つのIPで行えるといいのですが、
そこまでの能力が私に無かったという理由もあります。


その上で下記のアドバイスの詳細を伺いたいのですが、

> >・内部のクライアント(Windows)が同一のワークグループに属せる事
> >・内部のクライアント(Windows)からsambaサーバーが利用できる事
> この辺りから、サーバをクライントと同じセグメントに置いたほうが
> いいのですが、セキュリティ的にどうかと思いますね。

セキュリティを保ちながらsambaを利用する方法もあるのでしょうか?
確かに今後、各サーバーを管理する方は私以上に経験が浅いので不安もあります。
良い方法がありましたら御教示下さい。

以上、宜しく御願い致します。


Re^3: 複数固定IP&YAMAHA RT58i での環境構築

No.21623 投稿時間:2007年05月22日(Tue) 14:09 投稿者名:わらび URL:

> 今回の環境構築の「目的」は下記のとおりです。
> ・技術者各位のサーバー構築・運用スキルの向上
お勉強用でしたか、それならば放置されて
踏み台とかにならないように注意すればいいかなと思います。
#お勉強用ならプライベートな環境でもいい気がするけど・・・。

> その上で下記のアドバイスの詳細を伺いたいのですが、
>
> > >・内部のクライアント(Windows)が同一のワークグループに属せる事
> > >・内部のクライアント(Windows)からsambaサーバーが利用できる事
> > この辺りから、サーバをクライントと同じセグメントに置いたほうが
> > いいのですが、セキュリティ的にどうかと思いますね。
>
> セキュリティを保ちながらsambaを利用する方法もあるのでしょうか?
> 確かに今後、各サーバーを管理する方は私以上に経験が浅いので不安もあります。
> 良い方法がありましたら御教示下さい。

適切なパケットフィルタリングをすればいいかと思います。
例えば、
クライアント→サーバ OK
サーバ→クライアント NG
SMBを外に出さないとか、外部→サーバは必要な物だけ許可するとか。

後は公開するデーモンの脆弱性をチェックするとかかな。


Re^4: 複数固定IP&YAMAHA RT58i での環境構築

No.21627 投稿時間:2007年05月26日(Sat) 06:10 投稿者名:初構築 URL:

わらび様


お世話になております。
返信遅れてしまい申し訳御座いません。


ひとまず、ルーターからの接続はなんとかなりましたが、
ルーターをコマンドで操作する段階で悪戦苦闘しております。
IPマスカレードやパケットフィルタリングなど、
基本から見直していく事に致します。

その過程でサーバーのセキュリティの知識も蓄えられればと思います。
また、詳細で行き詰る事がありましたら、
その際は何卒、御教授の程、宜しく御願い致します。


目次掲示板過去ログ目次▲頁先頭