[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:54541] Re: ファイアーウォール

From: Kunio Miyamoto <wakatono@xxxxxxxxxx>
Subject: [debian-users:54541] Re: ファイアーウォール
Date: Mon, 11 Oct 2010 03:14:13 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-2.1 required=10.0 tests=KI,MAILTO_TO_SPAM_ADDR autolearn=disabled version=3.1.7-deb3
References: <20101011013632.DC20.E0B4BDE4@xxxxxxxxxx> <769DD6541F8544D1A463E86ADD3450F5@localhost>
Message-id: <20101011031409.DC24.E0B4BDE4@xxxxxxxxxx>
X-mail-count: 54541
X-mailer: Becky! ver. 2.55 [ja]

　みやもとです。

　ええと、すでにLinux云々の話ではなく、ネットワーク構成の話になってます。
　私はあなたのネットワークについて責任を持つ者でもなんでもないので、複数
のISPを使ってきちんと動くかどうか？というのはなんとも言えません。

　1つだけ言えるのは「なんとなく動いてる」ネットワークは、「よくわからな
い」理由で通信ができなくなっても何の不思議もないということです。複数の
ISPと契約して外部と接続するのはふるたさんの自由ですが、よくわからないつ
なぎ方をしてつながらなくなってもそれはしょうがないともいえます。業務で使
うネットワークであれば、必要のないことはせずにシンプルに構成するのが定石
です。

　あと、そもそも外部に公開するネットワーク（外からリクエストを受け付ける
サーバ）と業務端末からインターネットを参照するためのネットワークについて、
WAN側を別にいっしょにせんでもいいのではないでしょうか。

On Mon, 11 Oct 2010 02:30:27 +0900
"furuta" <furuta007@xxxxxxxxxxxxxxx> wrote:

> みやもと様
> 
> 早速の回答ありがとうございます。
> 
> そうですね。ルータのWan側にパブリックIPアドレスを付けることで検討してみます。 
> 
> この関して、もう少しご教授いただきたいのです。
> 
> 現在、NTTの光回線を使っているのですが、プロバイダから借りているNTTルータ
> で無線LANを組むとレンタルカードが必要とのことで、NTTのルータに市販のルー
> タを繋いで無線LANを3台と1台を有線で繋いでいます。ネットワークを構築する
> までと2社とプロバイダー契約をしています。というのも1社のプロバイダーが
> 安価でパブリックアドレスを貸し出していると後で知ったためです。このネット
> ワークのおかげで分かったのですが、
> 
> NTTのルータの直下に
> ファイアーウォールマシン(Debianのiptable）を入れてそして
> DMZにWebサーバ
> （後にイントラネットにルータをいれ一台のパソコンを繋いで試験的にネットワークをためす。）
> そして当座は1台の有線と他の3台のパソコンは今のままで市販のルータと繋ぐ
> 
> この場合に、パブリックIPアドレスはファイアーウォールマシンに繋いで実践し
> ながら勉強をする方法も検討できそうだとも思っています。
> 
>１）NTTルータのプロパイダーとファイアーウォールのプロバイダを2社使わねば
> なりませんが、この設定ですと何か問題が起きますか？
> 
> ２）プロバイダを一社にしてNTTルータのWan側にパブリックIPアドレスそしてルー
> タのなかで2つのセグメントを作って試してもみました。　テストでは１）も２）
> も機能しましたが、実際にWebサーバに複数のパソコンからアプローチがあった
> 場合はどうなるのか分かっていません。
> 
> この１）と２）のネットワークについて前回と同様のコメントを頂けたら幸いです。
> 
> ふるた
> 
> ----- Original Message ----- 
> From: "Kunio Miyamoto" <wakatono@xxxxxxxxxx>
> To: <debian-users@debian.or.jp>
> Cc: <wakatono@xxxxxxxxxx>
> Sent: Monday, October 11, 2010 1:36 AM
> Subject: [debian-users:54539] Re: ファイアーウォール
> 
> 
> >
> > 　みやもとともーします。
> >
> > 　この場合の「ファイアーウォール」 = Linuxマシンですよね。
> > 　以後、ファイアーウォール＝ファイアウォールマシンと表記します。
> >
> > 　個人的にこのテのネットワークについては、
> >
> > ・ルータのWAN側にグローバルアドレスを付与
> > ・ルータのWAN側ポートとファイアウォールマシンのポートを対応付ける
> >
> > というようにしたほうがよいかと思います。
> >
> > 　理由はいくつかありますが、ざっとしたところは以下のような感じです。
> >
> > ・ファイアウォールマシンにアドレスを付与した場合、そのアドレスが外からの
> > 　パケットを全部受けることになる
> > ・ファイアウォールマシンの設定にミスがあった場合、そのマシン自体が危険に
> > 　さらされる
> > ・ルータで最低限の通信だけファイアウォールマシンに対して許可するように
> > 　しておけば、少なくともその最低限の通信を行うプログラムのメンテナンス
> > 　だけやっておけばすむ
> >
> > 　もちろんこの方法には欠点もあります。
> >
> > ・メンテナンスする対象が2つに増える
> > 　PPPoEで通信やらせる分には、ファイアウォールマシンのメンテナンスだけで
> > 　済むが、ルータにWAN側のアドレスを持たせる場合にはルータとファイアウォー
> > 　ルマシンの両方のメンテナンスが必要（ファームやOSのアップデートなど）。
> >
> > という感じでしょうか。
> >
> > 　いわゆるファイアウォールの管理について修得するのであれば、インバウンド
> > （外から自分ところ向けの通信）の制御もそうですが、アウトバウンド（自分と
> > ころから外向けの通信）の制御について学ばれてからでもいいかな、とか思った
> > りします。これならば、外に迷惑かけるリスクは減らせますし（自分のネットワー
> > クを使う人には少々不自由を強いるかもしれませんが）。
> > 　ある程度アウトバウンドのルール記述とかに慣れてから、インバウンド制御も
> > 同じようにやっていく、というようにすればよいかなぁと。
> >
> > On Sun, 10 Oct 2010 23:44:51 +0900
> > "furuta" <furuta007@xxxxxxxxxxxxxxx> wrote:
> >
> >>  幾許様
> >>
> >> 早速の回答ありがとうございます。
> >> イントラネットは4~5台で規模は小さいです。
> >>  将来規模を大きくするにあたって、ファイアーウォールを入れてLinuxを学ぶと
> >> 共に実践をしたいということです。
> >>
> >> 今一番知りたいのはインターネットに繋がるWAN側に付与するパブリックIPアド
> >> レスを質問のようにルータのWANに付与した場合と、ファイアーウォールに
> >> PPPoeで付与した場合にどちらが良いのか、また、何が違ってくるのかが知りたい
> >> のです。
> >>
> >> ご教授頂ければ幸いです。
> >>
> >> ふるた
> >>
> >> ----- Original Message ----- 
> >> From: <murasaki@xxxxxxxxxxxxxxxxxx>
> >> To: <debian-users@debian.or.jp>
> >> Sent: Sunday, October 10, 2010 11:02 PM
> >> Subject: [debian-users:54537] Re: ファイアーウォール
> >>
> >>
> >> > 幾許です。
> >> >
> >> > On Sun, 10 Oct 2010 22:06:02 +0900
> >> > "furuta" <furuta007@xxxxxxxxxxxxxxx> wrote:
> >> >
> >> >>お世話になります。
> >> >>
> >> >>ルータの直下に、ファイアーウォールを置きたいのですが、一つしかないパブリックIPアドレスを、”Internetに繋がるルーター側”
> >> >>に付与するのと、”ルータに繋がるファイアーウォール（ｐｐｐ０）”に付与する場合に、セキュリティやネットワークの効率性に関しての違いが理解出来ていません。
> >> >>
> >> >>添付URLにあるネットワークをイメージしていいます。
> >> >>http://www.atmarkit.co.jp/aig/02security/dmz.html
> >> >>
> >> >>パブリックアドレスは　１つだけ
> >> >>当座はDMZにWebサーバを置くつもり。その他は後で考える。
> >> >>イントラネットはルータかDebianのファイアーウォールを置くか検討中です。
> >> >>
> >> >>一応、どちらの設定でもインタネットに繋ぐことは出来ましたが、どちらの設定が効率的で良いのかがわかりません。
> >> >>ご教示頂ければ幸いです。
> >> >
> >> > Web 1機のみで あれば、別に firewall機を置くまでもなく、
> >> > 安直に router でアドレス変換、Web機で filter と言うのが第一感では
> >> > ありますが、どうなのでしょうね。
> >> >
> >> > intranet、と言われているものの規模感が分かりませんが、
> >> > 内部間での間仕切を したいのであれば、router なり firewall機なりを
> >> > 置くのが無難で あろうとは思います。
> >> >
> >> > -- 
> >> > 幾許
> >> >
> >> >
> >>
> >
> > ---
> > 宮本 久仁男 (Kunio Miyamoto)
> > E-mail: wakatono@xxxxxxxxxx
> > WebDAV Resources JP: http://webdav.todo.gr.jp/
> > wakatonoの戯れメモ     : http://d.hatena.ne.jp/wakatono/
> > Microsoft MVP (Windows - Security , 2005/10 - 2008/1
> >  Consumer - Security, 2008/2 - 2008/8, Enterprise Security, 2008/9 - 
> > 2010/9)
> >
> > 
> 

---
宮本 久仁男 (Kunio Miyamoto) 
E-mail: wakatono@xxxxxxxxxx
WebDAV Resources JP: http://webdav.todo.gr.jp/ 
wakatonoの戯れメモ     : http://d.hatena.ne.jp/wakatono/
Microsoft MVP (Windows - Security , 2005/10 - 2008/1 
  Consumer - Security, 2008/2 - 2008/8, Enterprise Security, 2008/9 - 2010/9)

Follow-Ups:
- [debian-users:54542] Re: ファイアーウォール
  - From: furuta

References:
- [debian-users:54539] Re: ファイアーウォール
  - From: Kunio Miyamoto
- [debian-users:54540] Re: ファイアーウォール
  - From: furuta

Prev by Date: [debian-users:54540] Re: ファイアーウォール
Next by Date: [debian-users:54542] Re: ファイアーウォール
Previous by thread: [debian-users:54540] Re: ファイアーウォール
Next by thread: [debian-users:54542] Re: ファイアーウォール
Index(es):
- Date
- Thread