[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:35441] Re: ネットワークカードについて



浦本といいます。

Mitsuo KASAHARA wrote:
> 笠原と申します。
> 
> Mon, 25 Nov 2002 22:11:17 +0900 に テクノ <LEJ06400@xxxxxxxxxxx> さんが
> [debian-users:35433] ネットワークカードについて で書きました。

snip

> 尚、FireWallを使ってDMZ構築をする場合の
> 一般論になってしまいますが、DMZ側のNICにグローバルを
> 生で振るのって「普通」なのでしょうか。
> 今まで私はDMZにはプライベートを振って
> FireWallでNAT、場合によってはNAPTさせるのが
> 「普通」だと思っていたのですが。

個人的には、ここはそのネットワークのポリシーなので、
この方式が「普通」だろう、という言い方自体がナンセンス
だと思っています。

グローバルアドレスにしておけば、ネットワークの
構成図が単純になり、NAT にかかるオーバーヘッドが
無くなる分、通信速度が保てるとか、
ローカルアドレスにしておけば、グローバル領域と
ローカル領域をきちんと分割できるとか。(これ、よく
分からない理論なんですが、私の周りで使われている
理由です。)

snip

> まずは、構築したいネットワークがFireWallで守られた
> それなりにセキュアなものなのか、
> なんかしらの実験的なネットワークなのか
> 要求要件によって代わってくると思いますが。
> ※生グローバルIPでサーバをさらすことが目的なら
>  ルータ直下に繋ぐ方が手っ取り早いと思いますし。

「生グローバルIPでサーバをさらす」という言葉だと、
悪い方向に受け取ってしまう気がします。
#私がそう受け取っちゃうだけかな?

1 対 1 NAT では、どのような形であれ、基本的に
「生グローバルIPでサーバをさらす」ことと変わりは
無いかと思いますが…。

FireWall で外部との通信ポートに制限を設けるのであれば、
ローカルアドレスを用いて NAT でも、グローバルアドレス
割り当てでも…。

> ちなみに、検証は取っていませんがちからづくで
> 強引にやるのならばeth0もeth1も32ビットマスクで
> インタフェースを上げてから、スタティックルーティングを
> 切れば松藤さんの原設計のネットワークでも
> 動くような気もしますが・・・。

私も当初、この方法が思いつきました。
ただ直感ですが、後の運用や構成変更、あと想像できない
ところで、このやり方は厳しい(後に問題が出る)ような。

ネットワーク設計では、その人の考え方で大きく変わる
部分もあるかと思います。
色々試されて、その良し悪しを提供していただけると
うれしいかな?(って他力本願。)

私の思いついたのは、これぐらいです。

では。