元記事の菊池@春日部です。 ツッコミ、ありがとうございます。 At Mon, 11 Nov 2002 01:54:30 +0900, OOSATO,Kazzrou <kazz@xxxxxxxxxxxxxx> wrote: > ADSL > | > [modem] > | > [router(LinuxBox)](*1) > | > ---+--+---------+---プライベートアドレスの疑似DMZ > | | > | [公開サーバ](*2) > | > [router(LinuxBox)](*3) > | > ------+---+-----------------+---- > | | > [内部サーバ](*4) [その他PC等] > > を基本形(論理構成)と考えるべきで、機能・サービスと、セ > キュリティを保てる力量と、運用管理の手間の兼ね合いで、 > (*1)(*2)(*3)(*4) を適当に統合して一台で済ませるやり方はあ > りです。 > > (*1)(*2) を統合とか > (*3)(*4) を統合とか > (*1)(*3) を統合、さらに(*1)(*3)(*4)を統合(NIC 3枚)とか > (*1)(*2)(*3)(*4) を1台で(わが家はこれ)とか。 > > ただし、元記事の方がやられているような(*2)を内部LANに置いて > port-forward で引きこむやり方は、私は嫌いです。長所が見いだ > せないし、危険でもあるし、扱いにくいし。 僕は(1)と(4)が1台に同居するのはイヤです。 結局(1)に入られたら(4)に入られたのと同じこと。 だったら、必要なサービスだけ Port Forward で引き込む方が よっぽど安全で扱いやすいと思いますが。 長所は(1)が分かれていて、その下はプライベートアドレス。 そこで止められることです。(1)に侵入するのは難しいんじゃないですか? # ウチの場合、Mosquito をルータとして導入しているので、Port Forward # の設定も Web ベースで行えますので扱いにくさはないですし。 # 以前はもちろん、ipmasqadm でやってましたけど。 (1)(2)(3)(4)を1台で済ますということは、インターネットに直接 つながっているマシンが内部 LAN 用サーバを兼ねていますから、 「玄関先に金庫と鍵を置くようなものだ、やめなさい」と某 LUG の ML で指摘され、現在の構成にしたのです。 確かにその時の構成は、(1)(2)(4)が1台で、(3)で内部 LAN の セグメントを別に分けるということはしていなかったですが。 それとも、ipmasqadm って危険なんでしょうか? 後学のために、Port Forward の短所・危険性・扱いにくさをご説明いただけ ないでしょうか? # まあ、強力なクラッカーの手にかかれば、商用ファイアウォールでさえ # 落して侵入してきちゃいますけどね。 -- ;; Wanderlust の環境構築中... 菊池順一 <maxi@xxxxxxxxxxxxx>