このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

MN128-SOHOを利用したファイヤウォールについて

発言者:成松
( Date Wednesday, December 23, 1998 13:57:29 )


はじめまして。
24日よりエコノミーに接続しようとしていますが、下記の構成で
ネットワークを組もうと思っています。
(開設当初はとりあえず横一列にぶらさげます。)
DNSの設定とNatの設定で、どのようにしたら一番安全で確実なのか
教えてもらえないでしょうか?

・OCNにセカンダリは申し込んでいません。
・DNSはプライマリ・セカンダリ共にBINDです。(8.1.2と4.9.5)
・

    [InterNet]
         |
      +-----------------+
      | MN128-SOHO-SL10 |
      +--------+--------+
         |
      +--------+--------+
      | FreeBSD Server  |    //プライマリDNS・Proxy・Nat
      +--------+--------+
[グローバル]          |
---------------------|-------------------------------------
[プライベート]       |
      +--------+--------+    +-----------------+
      |    MN128-SOHO   |---------|  WinNT Server   | //セカンダリDNS
      +--------+--------+    +-----------------+
         |
      +--------+--------+
      |       HUB       |
      +--------+--------+
         |
   +---------+++++---------+
   |     |||||   |
+--------+--------+  +--------+--------+
|    Client PC    |.....|    Client PC    |
+-----------------+  +-----------------+

寺港みやび@アパートメントP さんからのコメント
( Wednesday, December 23, 1998 18:47:47 )

どこにMacが使ってあるのかわからないんですが(^^;;;??
#クライアント(^^;;?

話はかわりますが(おいおい)

知り合いでもOCNにセカンダリDNSを依頼してないって人が
いたんですが、別のプロバイダに友達がいるとか
どこかの会社におかせてもらえるとか、そういう事なら
わかるけど、自分とこにプライマリもセカンダリも持つっていうのは
どうなんでしょうかねえ。

いや、別に悩んでいるわけではないんですけどね。

watanabe H さんからのコメント
( Thursday, December 24, 1998 09:56:26 )

わたくしも近々OCN開通を控えているのでこの話題には興味があります。
ネット構築は初めてなんですけれども、参考書をいくら読みあさっても、
「正解はこれ!」といったものがあるわけもなく、自分のネットがどれだけ
マトモなのか(トンチンカンなのか)自信がもてなくて悩むばかりです :-(

さて、そんなわたくしなのですが、
> わかるけど、自分とこにプライマリもセカンダリも持つっていうのは
> どうなんでしょうかねえ。

には賛成です。セカンダリは自分のところではなく、べつのネットに置くべ
きものと思います。ネットがおかしくなって、プライマリに届かなくなった
場合の備えとしてのセカンダリですから (ですよね?=自問自答)

POWERBOOK ARMY 飯嶋 さんからのコメント
( Thursday, December 24, 1998 11:26:12 )

internicのドメインは2個DNSがないと申請できませんから,同一ネット
ワークでもやむを得ないでしょうね。ホストがおかしくなった場合の供え
でもありますし,そもそもネットがおかしくなったら,メールは届きませ
んのでセカンダリが生きていてもどうにもなりません。

それより,プライベート側のMN-128SOHOはなんのためにあるのでしょう?
FreeBSDのサーバが2Etherで入っていたら,2個目のSOHOの役割は何もな
いように思いますが...これはリモートの受け用なのでしょうか?

SOHOにNATやらせる必要もないですしね。

小坂直樹@MiniWeb.Org さんからのコメント
( Saturday, December 26, 1998 15:33:07 )

Internet
  |
router
  |
Server(NIC2枚,DNS,mail,WWW,ftp,proxyサーバ等を稼働)
  |
  H---------Client 
  U---------Client
  B---------Client

上記の図はNTやUNIXサーバーを使った小規模OCNエコノミーサイトの
構築例として本などによく紹介されるパターンです。


Macサーバーの場合はハードに手を加えずにNIC1枚で、ルーターの
NATとパケットフィルタリング機能をフルに活用し、下のような
シンプルな構成にするのが良いとわたしは考えます。
 
Internet
  |
[ router ] (NAT,パケットフィルタを実施)
  |
  H---------[ Client ] (NATによりプライベート
  U---------[ Client ]  アドレスをランダムに
  B---------[ Client ]  グローバルアドレスに変換)
  |
[ Server ] (NIC1枚,DNS,mail,WWW,ftpサーバ等を稼働
NATによりプライベートアドレスを固定したグローバルアドレスに変換)


セカンダリDNSサーバはOCNにも依頼した方が良いと思います。

基本サービスに入っていることですし、自ネットワークがダウンしても、
OCNのセカンダリが生きていれば、外部からの問い合わせに対して、
ドメイン自体が存在しないと判断されることがないからです。

成松@fandnnet.gr.jp さんからのコメント
( Monday, December 28, 1998 13:32:35 )

ご教授ありがとうございます。

>それより,プライベート側のMN-128SOHOはなんのためにあるのでしょう?

正解です。(^^ゞ リモートの受け用です。

>どこにMacが使ってあるのかわからないんですが(^^;;;??

今はクライアントにしてます。
仕事でLANの構築をやるため、試験的に自宅でやっているもので、需要の多い
ところからはじめています。MacはまだUNIXのインストール中です。(^^ゞ

今、疑問に思っているのですが、そもそもNATを使う利点って何でしょう?
NATが何をするかはわかっていても、それが実際どのように役立つか、また
どのように防御されるのかイマイチわかりません。

現在は小坂さんの提案の状態になっていて、ただNATを利用せずフィルターで
シャットアウトしてしてます。

セカンダリをOCNに置くとどうも遅くなるみたいで、会社のLANでは結構
それに悩まされましたので、2個とも家に置いたんです。
それに、ネットが死んでいても結局Cクラス以下ですから、OCNのDNSが
正引き逆引き共にお返事してました。これってどうなんでしょう?

奥が深いです。

小坂直樹@MiniWeb.Org さんからのコメント
( Monday, December 28, 1998 19:13:24 )

NATについて

OCNエコノミーで与えられる16個(あるいは8個)のIPアドレスを

xxx.xxx.xxx.16 (ネットワークアドレス)
xxx.xxx.xxx.17 (router)
xxx.xxx.xxx.18 (server)
xxx.xxx.xxx.19 (client)
xxx.xxx.xxx.20 (client)
(中略)
xxx.xxx.xxx.31 (ブロードキャストアドレス)

というふうに割り当てるのが、多くのOCNエコノミーユーザーのパターン
ですが、これはOCNエコノミーユーザーにとっては周知の事実であるため、
OCNから与えられる2番目と3番目のIPアドレスが集中してアタックされる
という現象があります。

わたしはこの2番目と3番目のIPアドレスを「OCNの鬼門」と呼んでいます。

192.168.0.1   (router)
192.168.0.101 (server)
192.168.0.201 (client)
192.168.0.202 (client)
(以下略)

上記のようなプライベートアドレスのネットワークを構築し、
ルータのNATを利用して、

・外部に公開が必要なサーバのみ、スタティックにグローバルアドレスに変換
・クライアントは外部接続時にダイナミックにグローバルアドレスに変換
・ルータにはグローバルアドレスを割り当てない

192.168.0.1   (router)
192.168.0.101 (server) (DNSで指定したグローバルアドレスに固定変換)
192.168.0.201 (client) (xxx.xxx.xxx.17から29の
192.168.0.202 (client)  いずれかにダイナミックに変換)
(以下略)


という方法をとることにより、外部に公開するホストを最小限にすることが
できます。

その他NATの利点として、

・割り当てられたIPアドレスの数以上のホストをネットワークに接続できる
・将来OCN以外のプロバイダーに乗り換えたときに、個々のホストのIPアドレスを
 変更する必要がない

ということもあげられます。

わたしもOCNエコノミーユーザーとして、いくつかのネットワーク構成を
試しましたが、今のところは上記のNATの例がベストではないかと考えています。

小坂直樹@MiniWeb.Org さんからのコメント
( Monday, December 28, 1998 19:18:51 )

DNSサーバについて

> それに、ネットが死んでいても結局Cクラス以下ですから、OCNのDNSが
> 正引き逆引き共にお返事してました。

これは、ネットワークがClass C以下だからではなく、セカンダリDNSサーバを
OCN側に置いていたからだと思われます。

Class C以下のネットワークであっても、セカンダリDNSサーバを外部に置かな
ければ、自ネットワークがダウンしたときにはネットワーク外部からの正引きは
できませんし、逆引きもClass C以下を管理するOCNのDNSサーバからのCNAMEの
参照ができず完了しません。

セカンダリDNSサーバが外部にないと、自ネットワークがダウンしたときには、
外部からの問い合わせに対して、自ドメインの情報を提供できなくなることは
覚悟しなければなりません。

> セカンダリをOCNに置くとどうも遅くなるみたいで、会社のLANでは結構
> それに悩まされましたので、2個とも家に置いたんです。

この件はNTTに相談されましたか?
もしセカンダリDNSサーバをOCNに置くと遅くなるという現象が起きるのであれば
これはNTTが解決すべき問題です。

ただOCNエコノミーは、もともと回線品質を保証しない商品として提供されている
ため契約者はいろいろな場面で苦労することになります。

OCNエコノミーユーザー同士の会話でも、わたしのところではこの問題は
おきていないから、あなたのところでも問題はおきないはずだということには
なりませんし、その逆もしかりです。

その意味で、成松さんのおっしゃるように、奥が深いものがあるとわたしも感じます。

個人ユーザーにとっては、安価で品質の保証された常時接続サービスが1日も早く
提供されることが待ち望まれます。