馬場崎です。 > 幾許と申します。 > > これは千葉さんのメールに対しての回答では ないので、申訳ないのですが > ちょっと お聞きしたい事が ありまして。 ……<後略>…… えぇと、僕もこの三つのLANの関係がよくわからなくて、どう書こうか悩んで おりまして、良かったら伺いたいです。 逆に、アドレスなんかはある程度具体性があれば良いので、実際とは違って いても構わないと思うのですが……。 何か、変更不能なLANの設定という縛りがあるのでしょうか。 例えば三箇所のLANが設定済みで、アドレスが固定で変更できないとか。 そうでないのなら、ネットワークそのものを少し整頓される方が、設定も シンプルになり、それはファイヤーウォールを設置する目的であるセキュリ ティの向上にもつながると思うのです。 例えば私事で恐縮ですが、とある担当のLANで、メインサーバーは別に ありますが、負荷軽減の意味もあって中立地帯にVineLinuxでDHCPサーバー を立ててLAN内部のクライアントアドレスを一括管理しております。 (ほぼDHCPオンリーですが、NICは3枚挿しで内1枚はネットワーク越しに ログインする時専用というような運用です。これにもそうせざるを得ない 理由があったりしますが、自分でもまだまだ見直せる部分があるんじゃ ないかと思っています) LinuxのDHCPに慣れているせいもありますが、柔軟に運用できるので管理で いくらかでも楽をさせてもらっています。 それで、少しファイヤーウォールの話に戻りまして、IPを固定か、あるいは 半固定(特定のハードウェアアドレスの機器には固定でIPを振る運用)とかでも、 ファイヤーウォールの設定としては似たような具合になり、かつ、HUBとか 物理的な部分で分けなくても良いというメリットがあります。 先の図を使いますと、例えば LAN2 に制限を加えるのでは無くて、PC3とPC4に 制限を加えて、LANはLAN0とLAN2で同一にする、そういう事が可能です。この PCが部屋移動したりHUBの接続先が変わっても制限は付随します。 (クライアントIPアドレスを変えなければ。また、変えることでグループを 移動したことになります) 先走ってアイディアを述べると、中立地帯っぽい LAN1にADSLを置いて、 WinSrvは LAN0 に置きつつも、WinSrv側とルーター側の両面でお互いしか許可 しないようにするとか、または 3枚NICを生かしてLAN0がADSL(上流)、LAN1が 中立地帯(ここにWinSrv)、LAN2がクライアントPC(下流)で、しかもクライアント グループ毎に制限が違う、みたいな形が考えられますが、いかがでしょう。 クライアントのグループ同士が互いを見てはならないのだとしたら、予算が あったら VLAN(と対応HUB) を入れるのが本道のような気がします。 (ちなみに僕の所は予算が「無かった」ので入れていません) そして、最後に書くのもあれですが、一番気になったのは起動スクリプトを 独自に書かれている事です。これも、VineLinuxが標準で持っている仕組が 使えない理由があるのなら仕方ないと思いますが、ちょっと大変かなぁと。 一応ですね、iptable が導入されているのなら、/etc/sysconfig/iptables が 存在し、そこを設定すれば ネットワークのリスタート 例 # /etc/init.d/network restart ……でデバイスとひとまとめに操作が可能であります。 (他に、status とか start stop の命令もあります) これを編集するツール(firestarter とか webmin とか)もありますので一考の 価値はあるかと思いますが、いかがでしょうか。 長々と失礼しました。 -- __/__/__/__/__/__/__/__/__/__/__/__/ ZON or MaruArt. >> Babasaki Seiichirou (Jap) E-Mail mindgear@xxxxxxxxxxxx Nokia N800 zon@xxxxxxxxxxxx __/__/__/__/__/__/__/__/__/__/__/__/