[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:54540] Re: ファイアーウォール

From: "furuta" <furuta007@xxxxxxxxxxxxxxx>
Subject: [debian-users:54540] Re: ファイアーウォール
Date: Mon, 11 Oct 2010 02:30:27 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-mimeole: Produced By Microsoft MimeOLE V6.00.2900.5994
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-msmail-priority: Normal
X-priority: 3
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level: **
X-spam-status: No, score=2.8 required=10.0 tests=FORGED_MUA_OUTLOOK,KI, MAILTO_TO_SPAM_ADDR,SUBJECT_ENCODED_TWICE autolearn=disabled version=3.1.7-deb3
References: <20101010230245.0B76.AF0184C8@xxxxxxxxxxxxxxxxxx> <14700850C0DE4A5AA54E03D18485AAEA@localhost> <20101011013632.DC20.E0B4BDE4@xxxxxxxxxx>
Message-id: <769DD6541F8544D1A463E86ADD3450F5@localhost>
X-mail-count: 54540
X-mailer: Microsoft Outlook Express 6.00.2900.5931

みやもと様

早速の回答ありがとうございます。

そうですね。ルータのWan側にパブリックIPアドレスを付けることで検討してみます。

この関して、もう少しご教授いただきたいのです。

現在、NTTの光回線を使っているのですが、プロバイダから借りているNTTルータで無線LANを組むとレンタルカードが必要とのことで、NTTのルータに市販のルータを繋いで無線LANを3台と1台を有線で繋いでいます。ネットワークを構築するまでと2社とプロバイダー契約をしています。というのも1社のプロバイダーが安価でパブリックアドレスを貸し出していると後で知ったためです。このネットワークのおかげで分かったのですが、

NTTのルータの直下に
ファイアーウォールマシン(Debianのiptable）を入れてそして
DMZにWebサーバ
（後にイントラネットにルータをいれ一台のパソコンを繋いで試験的にネットワークをためす。）
そして当座は1台の有線と他の3台のパソコンは今のままで市販のルータと繋ぐ

この場合に、パブリックIPアドレスはファイアーウォールマシンに繋いで実践しながら勉強をする方法も検討できそうだとも思っています。

１）NTTルータのプロパイダーとファイアーウォールのプロバイダを2社使わねばなりませんが、この設定ですと何か問題が起きますか？

２）プロバイダを一社にしてNTTルータのWan側にパブリックIPアドレスそしてルータのなかで2つのセグメントを作って試してもみました。　テストでは１）も２）も機能しましたが、実際にWebサーバに複数のパソコンからアプローチがあった場合はどうなるのか分かっていません。

この１）と２）のネットワークについて前回と同様のコメントを頂けたら幸いです。

ふるた

----- Original Message -----From: "Kunio Miyamoto" <wakatono@xxxxxxxxxx>

To: <debian-users@debian.or.jp>
Cc: <wakatono@xxxxxxxxxx>
Sent: Monday, October 11, 2010 1:36 AM
Subject: [debian-users:54539] Re: ファイアーウォール


　みやもとともーします。

　この場合の「ファイアーウォール」 = Linuxマシンですよね。
　以後、ファイアーウォール＝ファイアウォールマシンと表記します。

　個人的にこのテのネットワークについては、

・ルータのWAN側にグローバルアドレスを付与
・ルータのWAN側ポートとファイアウォールマシンのポートを対応付ける

というようにしたほうがよいかと思います。

　理由はいくつかありますが、ざっとしたところは以下のような感じです。

・ファイアウォールマシンにアドレスを付与した場合、そのアドレスが外からの
　パケットを全部受けることになる
・ファイアウォールマシンの設定にミスがあった場合、そのマシン自体が危険に
　さらされる
・ルータで最低限の通信だけファイアウォールマシンに対して許可するように
　しておけば、少なくともその最低限の通信を行うプログラムのメンテナンス
　だけやっておけばすむ

　もちろんこの方法には欠点もあります。

・メンテナンスする対象が2つに増える
　PPPoEで通信やらせる分には、ファイアウォールマシンのメンテナンスだけで
　済むが、ルータにWAN側のアドレスを持たせる場合にはルータとファイアウォー
　ルマシンの両方のメンテナンスが必要（ファームやOSのアップデートなど）。

という感じでしょうか。

　いわゆるファイアウォールの管理について修得するのであれば、インバウンド
（外から自分ところ向けの通信）の制御もそうですが、アウトバウンド（自分と
ころから外向けの通信）の制御について学ばれてからでもいいかな、とか思った
りします。これならば、外に迷惑かけるリスクは減らせますし（自分のネットワー
クを使う人には少々不自由を強いるかもしれませんが）。
　ある程度アウトバウンドのルール記述とかに慣れてから、インバウンド制御も
同じようにやっていく、というようにすればよいかなぁと。

On Sun, 10 Oct 2010 23:44:51 +0900
"furuta" <furuta007@xxxxxxxxxxxxxxx> wrote:

 幾許様

早速の回答ありがとうございます。
イントラネットは4~5台で規模は小さいです。
 将来規模を大きくするにあたって、ファイアーウォールを入れてLinuxを学ぶと
共に実践をしたいということです。

今一番知りたいのはインターネットに繋がるWAN側に付与するパブリックIPアド
レスを質問のようにルータのWANに付与した場合と、ファイアーウォールに
PPPoeで付与した場合にどちらが良いのか、また、何が違ってくるのかが知りたい
のです。

ご教授頂ければ幸いです。

ふるた

----- Original Message -----From: <murasaki@xxxxxxxxxxxxxxxxxx>

To: <debian-users@debian.or.jp>
Sent: Sunday, October 10, 2010 11:02 PM
Subject: [debian-users:54537] Re: ファイアーウォール


> 幾許です。
>
> On Sun, 10 Oct 2010 22:06:02 +0900
> "furuta" <furuta007@xxxxxxxxxxxxxxx> wrote:
>
>>お世話になります。
>>
>>ルータの直下に、ファイアーウォールを置きたいのですが、一つしかないパブリックIPアドレスを、”Internetに繋がるルーター側”
>>に付与するのと、”ルータに繋がるファイアーウォール（ｐｐｐ０）”に付与する場合に、セキュリティやネットワークの効率性に関しての違いが理解出来ていません。
>>
>>添付URLにあるネットワークをイメージしていいます。
>>http://www.atmarkit.co.jp/aig/02security/dmz.html
>>
>>パブリックアドレスは　１つだけ
>>当座はDMZにWebサーバを置くつもり。その他は後で考える。
>>イントラネットはルータかDebianのファイアーウォールを置くか検討中です。
>>
>>一応、どちらの設定でもインタネットに繋ぐことは出来ましたが、どちらの設定が効率的で良いのかがわかりません。
>>ご教示頂ければ幸いです。
>
> Web 1機のみで あれば、別に firewall機を置くまでもなく、
> 安直に router でアドレス変換、Web機で filter と言うのが第一感では
> ありますが、どうなのでしょうね。
>
> intranet、と言われているものの規模感が分かりませんが、
> 内部間での間仕切を したいのであれば、router なり firewall機なりを
> 置くのが無難で あろうとは思います。
>

> --> 幾許

>
>


---
宮本 久仁男 (Kunio Miyamoto)
E-mail: wakatono@xxxxxxxxxx
WebDAV Resources JP: http://webdav.todo.gr.jp/
wakatonoの戯れメモ     : http://d.hatena.ne.jp/wakatono/
Microsoft MVP (Windows - Security , 2005/10 - 2008/1

Consumer - Security, 2008/2 - 2008/8, Enterprise Security, 2008/9 -2010/9)

Follow-Ups:
- [debian-users:54541] Re: ファイアーウォール
  - From: Kunio Miyamoto

References:
- [debian-users:54537] Re: ファイアーウォール
  - From: murasaki
- [debian-users:54538] Re: ファイアーウォール
  - From: furuta
- [debian-users:54539] Re: ファイアーウォール
  - From: Kunio Miyamoto

Prev by Date: [debian-users:54539] Re: ファイアーウォール
Next by Date: [debian-users:54541] Re: ファイアーウォール
Previous by thread: [debian-users:54539] Re: ファイアーウォール
Next by thread: [debian-users:54541] Re: ファイアーウォール
Index(es):
- Date
- Thread