vine-users ML アーカイブ



[vine-users:071357] Re: 今現在 のインターネット上の交信 先のIPアドレ スを知る方法?

  • From: Masa Takahashi <masa@xxxxxxxxxxxxxxxxxxx>
  • Subject: [vine-users:071357] Re: 今現在 のインターネット上の交信 先のIPアドレ スを知る方法?
  • Date: Sat, 02 Apr 2005 14:13:49 +0900
 政です。


KONNO Yousuke wrote:

> 別にDMZを作ってまで公開するサーバが無いのであれば、普通の2枚差しのIP
> Masqで十分なのではないでしょうか?
> 更に言うと、DMZを作るようなちゃんとしたハードウェア構成をしていても、DMZ
> を作るサーバ自体のセキュリティがアマアマだと、何の意味もありません。
> 

一応、機器構成(の詳細)が判らぬままでしたので、考えうる理想論を書きま
したが、(上記の)今野さんの御意見には異論はございません。


> 私は、友人がサーバを作る時には、安いDSL Router2台でDMZに似た環境を作る様
> にアドバイスしていますが、下手に素人が設定するDMZサーバより確実に安全な
> 環境になります。
> 

(私の想像通りの構成ならば)これも異論はございませんし、良い構成だと思い
ます。


> 私のお薦めとしては、セキュリティとかあんまり判らない時はサーバを作るのは
> ちょっと控えて、ある程度判ってきたら面倒なことは考えずにDSL Routerを購入
> してNATの中でポートフォワードなんかで接続し、自信がついてきたら直接接続
> でも良いと思います。
> 

基本的には同意なんですが、 NAT の中でのポートフォワードは推奨しかね
ます。

それならば、ルータ2台のほうが安全かと思います。

理由としては、最近のルータに見られる"簡易 DMZ"と呼ばれる物や、ポート
フォワードによる外部公開ですと、公開しないマシンと公開するマシンが
同一のネットワークセグメント上に同居する形態になりますので、万一
サーバが被害を被ると、今度は被害を被った、そのサーバから内部の公開して
いないマシンに対して攻撃をする事が可能になる可能性があります。
しかも、(ルータの機種によっては)"簡易 DMZ"やポートフォワードをしている
マシンに対してのセキュリティ(パケットフィルタリング等)が全く無い場合も
あるようです。

また、大坪さんが そのようにしているとは申しませんが、 DHCP で LAN を
構築しているのに( IP アドレス指定による)ポートフォワードだと停電等や
その他の事情によるマシンの再起動等をすると、 IP アドレスが変更になる
可能性もあり、そうすると本来外部に公開していないマシンに"外部からの"
パケットが届く可能性があるわけで、それも危険な事だと思います。


-- 
政