[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:54539] Re: ファイアーウォール

From: Kunio Miyamoto <wakatono@xxxxxxxxxx>
Subject: [debian-users:54539] Re: ファイアーウォール
Date: Mon, 11 Oct 2010 01:36:35 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-2.1 required=10.0 tests=KI,MAILTO_TO_SPAM_ADDR autolearn=disabled version=3.1.7-deb3
References: <20101010230245.0B76.AF0184C8@xxxxxxxxxxxxxxxxxx> <14700850C0DE4A5AA54E03D18485AAEA@localhost>
Message-id: <20101011013632.DC20.E0B4BDE4@xxxxxxxxxx>
X-mail-count: 54539
X-mailer: Becky! ver. 2.55 [ja]

　みやもとともーします。

　この場合の「ファイアーウォール」 = Linuxマシンですよね。
　以後、ファイアーウォール＝ファイアウォールマシンと表記します。

　個人的にこのテのネットワークについては、

・ルータのWAN側にグローバルアドレスを付与
・ルータのWAN側ポートとファイアウォールマシンのポートを対応付ける

というようにしたほうがよいかと思います。

　理由はいくつかありますが、ざっとしたところは以下のような感じです。

・ファイアウォールマシンにアドレスを付与した場合、そのアドレスが外からの
　パケットを全部受けることになる
・ファイアウォールマシンの設定にミスがあった場合、そのマシン自体が危険に
　さらされる
・ルータで最低限の通信だけファイアウォールマシンに対して許可するように
　しておけば、少なくともその最低限の通信を行うプログラムのメンテナンス
　だけやっておけばすむ

　もちろんこの方法には欠点もあります。

・メンテナンスする対象が2つに増える
　PPPoEで通信やらせる分には、ファイアウォールマシンのメンテナンスだけで
　済むが、ルータにWAN側のアドレスを持たせる場合にはルータとファイアウォー
　ルマシンの両方のメンテナンスが必要（ファームやOSのアップデートなど）。

という感じでしょうか。

　いわゆるファイアウォールの管理について修得するのであれば、インバウンド
（外から自分ところ向けの通信）の制御もそうですが、アウトバウンド（自分と
ころから外向けの通信）の制御について学ばれてからでもいいかな、とか思った
りします。これならば、外に迷惑かけるリスクは減らせますし（自分のネットワー
クを使う人には少々不自由を強いるかもしれませんが）。
　ある程度アウトバウンドのルール記述とかに慣れてから、インバウンド制御も
同じようにやっていく、というようにすればよいかなぁと。

On Sun, 10 Oct 2010 23:44:51 +0900
"furuta" <furuta007@xxxxxxxxxxxxxxx> wrote:

>  幾許様
> 
> 早速の回答ありがとうございます。
> イントラネットは4~5台で規模は小さいです。
>  将来規模を大きくするにあたって、ファイアーウォールを入れてLinuxを学ぶと
> 共に実践をしたいということです。
> 
> 今一番知りたいのはインターネットに繋がるWAN側に付与するパブリックIPアド
> レスを質問のようにルータのWANに付与した場合と、ファイアーウォールに
> PPPoeで付与した場合にどちらが良いのか、また、何が違ってくるのかが知りたい
> のです。
> 
> ご教授頂ければ幸いです。
> 
> ふるた
> 
> ----- Original Message ----- 
> From: <murasaki@xxxxxxxxxxxxxxxxxx>
> To: <debian-users@debian.or.jp>
> Sent: Sunday, October 10, 2010 11:02 PM
> Subject: [debian-users:54537] Re: ファイアーウォール
> 
> 
> > 幾許です。
> >
> > On Sun, 10 Oct 2010 22:06:02 +0900
> > "furuta" <furuta007@xxxxxxxxxxxxxxx> wrote:
> >
> >>お世話になります。
> >>
> >>ルータの直下に、ファイアーウォールを置きたいのですが、一つしかないパブリックIPアドレスを、”Internetに繋がるルーター側”
> >>に付与するのと、”ルータに繋がるファイアーウォール（ｐｐｐ０）”に付与する場合に、セキュリティやネットワークの効率性に関しての違いが理解出来ていません。
> >>
> >>添付URLにあるネットワークをイメージしていいます。
> >>http://www.atmarkit.co.jp/aig/02security/dmz.html
> >>
> >>パブリックアドレスは　１つだけ
> >>当座はDMZにWebサーバを置くつもり。その他は後で考える。
> >>イントラネットはルータかDebianのファイアーウォールを置くか検討中です。
> >>
> >>一応、どちらの設定でもインタネットに繋ぐことは出来ましたが、どちらの設定が効率的で良いのかがわかりません。
> >>ご教示頂ければ幸いです。
> >
> > Web 1機のみで あれば、別に firewall機を置くまでもなく、
> > 安直に router でアドレス変換、Web機で filter と言うのが第一感では
> > ありますが、どうなのでしょうね。
> >
> > intranet、と言われているものの規模感が分かりませんが、
> > 内部間での間仕切を したいのであれば、router なり firewall機なりを
> > 置くのが無難で あろうとは思います。
> >
> > -- 
> > 幾許
> >
> > 
> 

---
宮本 久仁男 (Kunio Miyamoto) 
E-mail: wakatono@xxxxxxxxxx
WebDAV Resources JP: http://webdav.todo.gr.jp/ 
wakatonoの戯れメモ     : http://d.hatena.ne.jp/wakatono/
Microsoft MVP (Windows - Security , 2005/10 - 2008/1 
  Consumer - Security, 2008/2 - 2008/8, Enterprise Security, 2008/9 - 2010/9)

Follow-Ups:
- [debian-users:54540] Re: ファイアーウォール
  - From: furuta

References:
- [debian-users:54537] Re: ファイアーウォール
  - From: murasaki
- [debian-users:54538] Re: ファイアーウォール
  - From: furuta

Prev by Date: [debian-users:54538] Re: ファイアーウォール
Next by Date: [debian-users:54540] Re: ファイアーウォール
Previous by thread: [debian-users:54538] Re: ファイアーウォール
Next by thread: [debian-users:54540] Re: ファイアーウォール
Index(es):
- Date
- Thread