No.21619 投稿時間:2007年05月21日(Mon) 17:06 投稿者名:初構築 URL:
お世話になっております。
先日こちらでアドバイスを頂き、
ネットワーク構成を変えようとしています。
しかし、ここにきて根本的な事で悩んでいます。
サーバーへ与えるグローバルIPアドレスを、
固定プライベートIPに変換するかしないかです。
++++++++
■環境
・回線
ソフトバンクテレコム「ULTINA Internet」
ブロードバンドアクセス フレッツ・プラン(ファミリープランIP8)
・ルーター YAMAHA RT58i 1台
・クライアント WindowsXP 9台
・サーバー FedoraCore6 5台
※足りない情報が御座いましたら御指摘下さい。
+++++++++
■説明用
・グローバルIPは「123.123.123.0/29」
・ルーターは「123.123.123.1」を使用
・サーバーへは「123.123.123.2~6」をあてる
++++++++
■検討中の案
【案A】公開サーバーもプライベートアドレス空間に含める
「123.123.123.1」をIPマスカレードでクライアント機(Windows)へ。
「123.123.123.2~6」を「192.168.0.2~6」としてサーバー機へ。
参考 ⇒ http://netvolante.jp/support/example/command/PPPoE/21.6.html
【案B】公開サーバーはグローバルアドレス空間に置く
「123.123.123.1」をIPマスカレードでクライアント機(Windows)へ。
残り「123.123.123.2~6」を各公開サーバーへ割り当てる。
参考 ⇒ http://netvolante.jp/support/example/command/PPPoE/21.5.html
+++++++++
■希望している環境
・外部からはグローバルIPで五台のサーバーへアクセスできる事
・内部のクライアント(Windows)が同一のワークグループに属せる事
・内部のクライアント(Windows)からsambaサーバーが利用できる事
・内部に設置したメールサーバを内部・外部のクライアント(Windows)が利用できる事
・内向きネームサーバーを利用して内部・外部からドメインでアクセスできる事
++++++++
上記の希望している環境を運用しやすいのは、
【案A】でしょうか?それとも【案B】なのでしょうか?
ご指摘やアドバイスなどを頂けたらと思います。
何卒、宜しく御願い致します。
No.21620 投稿時間:2007年05月21日(Mon) 22:21 投稿者名:わらび URL:
選ぶなら、案A。
>・内部のクライアント(Windows)が同一のワークグループに属せる事
>・内部のクライアント(Windows)からsambaサーバーが利用できる事
この辺りから、サーバをクライントと同じセグメントに置いたほうが
いいのですが、セキュリティ的にどうかと思いますね。
グローバルIP,プライベートIPの必要性について
もう一度整理しては、如何でしょうか?
グローバルIPの理由として別スレッドでの話しだと、
WEBやMAILを複数ドメイン運用したい
とありましたが、それなら
バーチャルドメインという方法もあります。
要件次第では、以前のグローバルIPひとつで
ことが足りるかもしれません。
No.21621 投稿時間:2007年05月22日(Tue) 10:53 投稿者名:初構築 URL:
わらび様
アドバイス有難う御座いました。
まずは、御指摘の下記内容なのですが、
> グローバルIP,プライベートIPの必要性について
> もう一度整理しては、如何でしょうか?
>
> グローバルIPの理由として別スレッドでの話しだと、
> WEBやMAILを複数ドメイン運用したい
> とありましたが、それなら
> バーチャルドメインという方法もあります。
> 要件次第では、以前のグローバルIPひとつで
> ことが足りるかもしれません。
確かにその通りかもしれません。
今回の環境構築の「目的」は下記のとおりです。
・技術者各位のサーバー構築・運用スキルの向上
わらび様の御指摘のとおりサービスインはIP一つで行えますが、
独立した環境を構築しておく事で、他プロジェクトに与える影響を恐れず、
自由に開発できればと考えています。
もちろん、それらも含めて一つのIPで行えるといいのですが、
そこまでの能力が私に無かったという理由もあります。
その上で下記のアドバイスの詳細を伺いたいのですが、
> >・内部のクライアント(Windows)が同一のワークグループに属せる事
> >・内部のクライアント(Windows)からsambaサーバーが利用できる事
> この辺りから、サーバをクライントと同じセグメントに置いたほうが
> いいのですが、セキュリティ的にどうかと思いますね。
セキュリティを保ちながらsambaを利用する方法もあるのでしょうか?
確かに今後、各サーバーを管理する方は私以上に経験が浅いので不安もあります。
良い方法がありましたら御教示下さい。
以上、宜しく御願い致します。
No.21623 投稿時間:2007年05月22日(Tue) 14:09 投稿者名:わらび URL:
> 今回の環境構築の「目的」は下記のとおりです。
> ・技術者各位のサーバー構築・運用スキルの向上
お勉強用でしたか、それならば放置されて
踏み台とかにならないように注意すればいいかなと思います。
#お勉強用ならプライベートな環境でもいい気がするけど・・・。
> その上で下記のアドバイスの詳細を伺いたいのですが、
>
> > >・内部のクライアント(Windows)が同一のワークグループに属せる事
> > >・内部のクライアント(Windows)からsambaサーバーが利用できる事
> > この辺りから、サーバをクライントと同じセグメントに置いたほうが
> > いいのですが、セキュリティ的にどうかと思いますね。
>
> セキュリティを保ちながらsambaを利用する方法もあるのでしょうか?
> 確かに今後、各サーバーを管理する方は私以上に経験が浅いので不安もあります。
> 良い方法がありましたら御教示下さい。
適切なパケットフィルタリングをすればいいかと思います。
例えば、
クライアント→サーバ OK
サーバ→クライアント NG
SMBを外に出さないとか、外部→サーバは必要な物だけ許可するとか。
後は公開するデーモンの脆弱性をチェックするとかかな。
No.21627 投稿時間:2007年05月26日(Sat) 06:10 投稿者名:初構築 URL:
わらび様
お世話になております。
返信遅れてしまい申し訳御座いません。
ひとまず、ルーターからの接続はなんとかなりましたが、
ルーターをコマンドで操作する段階で悪戦苦闘しております。
IPマスカレードやパケットフィルタリングなど、
基本から見直していく事に致します。
その過程でサーバーのセキュリティの知識も蓄えられればと思います。
また、詳細で行き詰る事がありましたら、
その際は何卒、御教授の程、宜しく御願い致します。