[debian-users:35437] Re: ネットワークカードについて

[Mitsuo KASAHARA <gaunt@xxxxxxxxxxxxxxxxxxxxx>]

笠原と申します。

Mon, 25 Nov 2002 22:11:17 +0900 に テクノ <LEJ06400@xxxxxxxxxxx> さんが
[debian-users:35433] ネットワークカードについて で書きました。

> debian(woody)を使用し、ファイアーウォールを構築しようと考えています。
> eth0：ルーター　⇔　ファイアーウォール
> eth1：ファイアーウォール　⇔　サーバー(name,web etc)　
> eth2：ファイアーウォール　⇔　ローカルネットワーク
> 
> グローバルは固定で、8個です。

ネットワークの方式設計をした方がよろしいのではないでしょうか。

> eth0 & etn1　にグローバルを割り当てようとしたのですが、eth1からサーバーへ
> Pingがと
> おりません。

手持ちのIPアドレスが８個という事はサブネットマスクは
255.255.255.248
になりますが、ここで、手持ちの８個のアドレスを
ルータ向けセグメントとサーバ用セグメントに分割
して使用するためには
255.255.255.252
のサブネットに分割して自分で使う必要があります。

> それが原因であれば、同じサブネットでもとおる設定はできるのでしょうか？

サブネットの問題というよりはIPv4とそれに付随する
イーサネットの世界のお話をした方が良いのではないかと。
簡単に表現すれば
「同じサブネットが２つあると、優先順位の高い方
　のNICに返事を出します。従って、優先順位
　の低い方は通信が出来ません。」
となってしまいます。優先順位の付け方は、メトリックを使ったりとか
色々ありますが私の知る限りではL2スイッチ的な意味で
とりあえず両方にARPパケットを投げてみて
返事のあった側のNICにパケットを投げるという挙動を
Linuxにさせる方法は知りません。

尚、FireWallを使ってDMZ構築をする場合の
一般論になってしまいますが、DMZ側のNICにグローバルを
生で振るのって「普通」なのでしょうか。
今まで私はDMZにはプライベートを振って
FireWallでNAT、場合によってはNAPTさせるのが
「普通」だと思っていたのですが。

「実験」「検証」などの目的でサーバを生グローバルIPで
さらしたいということであれば、
実績のある構築（私がやったことがあるという意味）ですと
ルータを使わないでやったことはあります。
使ったディストリビューションはRedHat7.3になりますが
PPPoEな回線で固定の8IPアドレス契約の時

A.B.C.152 PPPoEをEth0で使う。本来はネットワークアドレス。
      153 サーバ側に公開するEth1に振る。サーバから見たルータのIP。
      154 ＼
       +　　→この範囲をサーバに生グローバルを振る
      158 ／
      159 ブロードキャストアドレス

という構成は作ったことがあります。
この構成の場合は、PPPを上げてからEth1を上げるのがこつです。
順番が逆だと二度と再びPPPが動きません。
従って、adsl-connectスクリプトに手を入れて
再接続時にEth1を一度関係ないアドレスに逃がす
等の小細工をする必要があります。

まずは、構築したいネットワークがFireWallで守られた
それなりにセキュアなものなのか、
なんかしらの実験的なネットワークなのか
要求要件によって代わってくると思いますが。
※生グローバルIPでサーバをさらすことが目的なら
　ルータ直下に繋ぐ方が手っ取り早いと思いますし。

ちなみに、検証は取っていませんがちからづくで
強引にやるのならばeth0もeth1も32ビットマスクで
インタフェースを上げてから、スタティックルーティングを
切れば松藤さんの原設計のネットワークでも
動くような気もしますが・・・。

-----------------------------------------------------
笠原光朗 (Mitsuo KASAHARA)
gaunt@xxxxxxxxxxxxxxxxxxxxx