[vine-users:064949] Re: NIC が動作しない >>>LAN が組めない

["OOSATO,Kazzrou" <kazz@xxxxxxxxxxxxxx>]

大里です。

> From: Masa
> Subject: [vine-users:064915] Re: NIC が動作しない >>>LAN が組めない
> Date: Sun, 07 Mar 2004 14:45:18 +0900

> となると長南さんの仰る
> > 外部公開用のサーバは DMZ を用意して、そっちに置いた方がよい、
> という事になり、そうすると結果的にネットワーク構成全体を見直すという
> 事につながりますが、そうでないのなら手元にある書籍を細かく見直す事に
> よって現在 困っている事が解決されるのではないかと思います。

  単にどういうノードの構成になっているかということではなくて、
それぞれの構成要素の意味をちゃんと理解して設計されているかが
重要です。
  例にあげられている構成も、もちろんありうるんですが、「意味
分ってやっています？」という問いかけを皆さんしているんじゃな
いかと。


(構成 1)
  最もコンベンショナルな構成を考えます。
    [ The Net ]
        |
    [ router ](a)
        |
   [ firewall ](b)
        |
    ----+---+-------------------+-- class A/B/C のネットワーク[ DMZ ]
            |                   |
       [ router ](c)      [公開サーバ](e)
            |
       [ firewall ](d)
            |
    --------+---------------------- [非公開ネットワーク]
  これが最も普通で危険も少ない方法です。とはいっても、これとて
充分なネットワークの知識と技術をもって慎重に行なうべきです。


(構成 2)
  とは言っても、いまや(構成 1)のような恵まれた環境は大企業や大
学以外では難しいでしょう。
  class C が貰えなくて、クラスレス なネットワークで DMZ をつく
ります。
        |
    ----+---+-------------------+-- CIDR ネットワーク[ DMZ ]
            |                   |
  ノード構成は変わりませんが、CIDR な DNS の作り方を知っている
必要があります。
  ★技その 1 : クラスレスネットワークの構成

(構成 3)
  大きなデータセンタ内でプロバイダのルータに直結できたり、SD 回
線を引きこむ予算的な余裕があれば良いのですが、SOHO 等ではいまや
殆んど B-Flet's や ADSL でしょう。
  pppoe 等の接続器機を必要とします。
    [ The Net ]
        |
 [ pppoe client](z)
        |
    [ router ](a)
        |
   [ firewall ](b)
        |
  ★技その 2 : pppoe クライアントを動かす。

(構成 4)
  さらに、予算の都合で IP アドレス 1 個で運用したいというかもし
れません。
  DMZ も プライベート IP にせざるを得ません。
    [ The Net ]
        |
 [ pppoe client](z)
        |
    [ router ](a)
        |
   [ firewall ](b)
        |
    ----+---+-------------------+-- プライベートネットワーク[ DMZ ]
            |                   |
       [ router ](c)      [公開サーバ](e)
            |
       [ firewall ](d)
            |
    --------+---------------------- [非公開ネットワーク]
  必然的に、ポートフォワードを使ってサーバを公開しなければなりま
せん。
  ★技その 3 : ポートフォワード(逆 NAT)を使う。

(構成 5)
  その 1 個の IP アドレスも固定 IP ではなくて、いわゆる(なんちゃっ
て)DDNS で頑張りたい、という強者もいるかもしれません。
  その場合は、さらに
  ★技その 4 : DDNS を正しく理解して正しく使う。

(構成 6)
  さらに、変型として公開サーバとと非公開ネットワークを同一セグメン
トに置く例も良く見られるようですが
  ★技その 5 : 不要なブロードキャストの押さえこみと、一瞬の隙も見せ
               られない完璧なフィルタ設計と実装。
がもとめられるので、私のような凡人にはとても怖くてできません。


  使う技が多くなればなるほど、技術的な難易度はあがり、危険も多く
なります。いっぽう、そのトレードオフでコストは下がります。


  で、もう一度整理すると、論理的には
    [ The Net ]
        |
 [ pppoe client](z)
        |
    [ router ](a)
        |
   [ firewall ](b)
        |
    ----+---+-------------------+-- [ DMZ ]
            |                   |
       [ router ](c)      [公開サーバ](e)
            |
       [ firewall ](d)
            |
    --------+---------------------- [非公開ネットワーク]
となりますが、実機の構成としては、これらの機能のいくつかを一台の
箱で行なわせることもよくあることなので、ルータがないように見えた
り、DMZ が存在しないように見えたりしているだけです。

  例えは、私の自宅は (z)(a)(b)(c)(d)(e) を一台の Linux BOX で間に
合わせていますし、もちろん仕事で管理しているサイトの中には、典型的
な(構成 2)の形で機能別に分離して作っているものもあります。
  そのほかサイトによって折衷的な様々な構成があり、箱を[],機能を()
で括って表すと
  [(z)(a)(b)]--[(e)]--[(c)(d)] とか
  [(z)(a)]--[(b)(e)(c)(d)]     とか
  [(z)(a)(b)--[(c)(d)(e)]      とか
  [(z)]--[(a)(b)(c)(d)]--[(e)] とか
の形で実際に動かしています。

> (たぶん、書籍に設定例が図解等も含め細かく書いてあるのではないかと
> 想像しているのですが .....)

  実際の「箱」の絵だけが書いてあったりすると、機能と箱の関係が
良く分らないかもしれませんね。

-- 
  kazz