[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:35440] Re: ネットワークカードについて
- From: テクノ <LEJ06400@xxxxxxxxxxx>
- Subject: [debian-users:35440] Re: ネットワークカードについて
- Date: Tue, 26 Nov 2002 09:21:30 +0900
- List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
- List-id: debian-users.debian.or.jp
- List-owner: <mailto:debian-users-admin@debian.or.jp>
- List-post: <mailto:debian-users@debian.or.jp>
- List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
- List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
- X-mimeole: Produced By Microsoft MimeOLE V6.00.2800.1106
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
- X-ml-name: debian-users
- X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
- X-msmail-priority: Normal
- X-priority: 3
- X-spam-level: ***
- X-spam-status: No, hits=3.7 required=10.0 tests=ISO2022JP_CHARSET,FROM_NAME_NO_SPACES,FROM_ENDS_IN_NUMS, PLING,ISO2022JP_BODY,CASHCASHCASH,US_DOLLARS_2, UPPERCASE_50_75,WEIRD_PORT version=2.31
- References: <20021125174315.09fcb520.nabetaro@xxxxxxxxxxxxx> <000001c29484$0e498b90$4164a8c0@nakano2> <20021125235255.5F39.GAUNT@xxxxxxxxxxxxxxxxxxxxx>
- Message-id: <001401c294e1$b151dd80$4164a8c0@nakano2>
- X-mail-count: 35440
- X-mailer: Microsoft Outlook Express 6.00.2800.1106
岩崎さん、笠原さんご返答ありがとうございました。
いろいろ参考なりました。
DMZに関しては、他の参考書などもローカルアドレスを使用しているものが多かった
のですが、
近道のつもりが遠回りだったみたいです。
もう一度設計をやり直し、ローカルでNATさせる方向で行こうと思います。
ありがとうございました。
> > debian(woody)を使用し、ファイアーウォールを構築しようと考えています。
> > eth0:ルーター ⇔ ファイアーウォール
> > eth1:ファイアーウォール ⇔ サーバー(name,web etc)
> > eth2:ファイアーウォール ⇔ ローカルネットワーク
> >
> > グローバルは固定で、8個です。
>
> ネットワークの方式設計をした方がよろしいのではないでしょうか。
>
> > eth0 & etn1 にグローバルを割り当てようとしたのですが、eth1からサーバー
へ
> > Pingがと
> > おりません。
>
> 手持ちのIPアドレスが8個という事はサブネットマスクは
> 255.255.255.248
> になりますが、ここで、手持ちの8個のアドレスを
> ルータ向けセグメントとサーバ用セグメントに分割
> して使用するためには
> 255.255.255.252
> のサブネットに分割して自分で使う必要があります。
>
> > それが原因であれば、同じサブネットでもとおる設定はできるのでしょうか?
>
> サブネットの問題というよりはIPv4とそれに付随する
> イーサネットの世界のお話をした方が良いのではないかと。
> 簡単に表現すれば
> 「同じサブネットが2つあると、優先順位の高い方
> のNICに返事を出します。従って、優先順位
> の低い方は通信が出来ません。」
> となってしまいます。優先順位の付け方は、メトリックを使ったりとか
> 色々ありますが私の知る限りではL2スイッチ的な意味で
> とりあえず両方にARPパケットを投げてみて
> 返事のあった側のNICにパケットを投げるという挙動を
> Linuxにさせる方法は知りません。
>
> 尚、FireWallを使ってDMZ構築をする場合の
> 一般論になってしまいますが、DMZ側のNICにグローバルを
> 生で振るのって「普通」なのでしょうか。
> 今まで私はDMZにはプライベートを振って
> FireWallでNAT、場合によってはNAPTさせるのが
> 「普通」だと思っていたのですが。
>
> 「実験」「検証」などの目的でサーバを生グローバルIPで
> さらしたいということであれば、
> 実績のある構築(私がやったことがあるという意味)ですと
> ルータを使わないでやったことはあります。
> 使ったディストリビューションはRedHat7.3になりますが
> PPPoEな回線で固定の8IPアドレス契約の時
>
> A.B.C.152 PPPoEをEth0で使う。本来はネットワークアドレス。
> 153 サーバ側に公開するEth1に振る。サーバから見たルータのIP。
> 154 \
> + →この範囲をサーバに生グローバルを振る
> 158 /
> 159 ブロードキャストアドレス
>
> という構成は作ったことがあります。
> この構成の場合は、PPPを上げてからEth1を上げるのがこつです。
> 順番が逆だと二度と再びPPPが動きません。
> 従って、adsl-connectスクリプトに手を入れて
> 再接続時にEth1を一度関係ないアドレスに逃がす
> 等の小細工をする必要があります。
>
> まずは、構築したいネットワークがFireWallで守られた
> それなりにセキュアなものなのか、
> なんかしらの実験的なネットワークなのか
> 要求要件によって代わってくると思いますが。
> ※生グローバルIPでサーバをさらすことが目的なら
> ルータ直下に繋ぐ方が手っ取り早いと思いますし。
>
> ちなみに、検証は取っていませんがちからづくで
> 強引にやるのならばeth0もeth1も32ビットマスクで
> インタフェースを上げてから、スタティックルーティングを
> 切れば松藤さんの原設計のネットワークでも
> 動くような気もしますが・・・。
>
> -----------------------------------------------------
> 笠原光朗 (Mitsuo KASAHARA)
> gaunt@xxxxxxxxxxxxxxxxxxxxx
>
>