DMZ構築・プライベートアドレスを分離する
今年は自宅サーバーを公開する目標と、先日入手したiPhone用に無線LANルーターを新調したので、仕事場のLAN環境を再構築してみました。
サーバー公開を視野に入れて、DMZ領域を設けて、内部LANとDMZ領域のプライベートアドレスを分離することにしました。ごちゃごちゃ言うより百聞は一見にしかず、構築したLAN環境は以下の図のとおりです。
DMZ・内部LANネットワーク構成図
Network Notepad でネットワーク図を作成しました。
日本語解説:Network Notepad Homepage 日本語ページ
・DMZ: 192.168.1.0/24
サーバーを設置する。
Router(192.168.1.1/24)のポートを開くことで、WAN側からアクセス可能。
・内部LAN: 192.168.2.0/24
作業用クライアントのデスクトップやラップトップを設置。
iPhoneやモバイルノートからWiFi(無線LAN)接続。
実際に割り当てたネットワークアドレスはさておき、イメージとしては図のとおりです。台数ははしょってます。
ファイルサーバーの置所に悩みましたが、WAN側からのアクセスを考えなければ、内部LAN側に置いて良いかもしれない。
追記(2010/03/11):
twitterにて、@ohsourさんよりアドバイスを頂き、ファイルサーバはDMZ上ではなく、内部LAN側のプライベートIPアドレスのネットワークアドレス上に配置するほうがいいとのことです。SMBプロトコルはルーター越えが面倒なのとセキュリティ向上のため。
したがってファイルサーバは、当初の赤字の×印した箇所(192.168.1.3/24)から、192.168.2.3/24 の箇所へと変更しました。アドバイスありがとうございました。
https://twitter.com/ohsour/status/10281163456
https://twitter.com/ohsour/status/10301084322
追記ここまで:
DMZと内部LANを分離するメリット
公開サーバー(Server: 192.168.1.2/24)は、絶えずセキュリティとの戦いを強いられる。
同一ネットワークアドレス上(192.168.1.0/24)に作業用クライアントマシンを設置していたら、公開サーバーのセキュリティホールで外部からの侵入を許した場合に、サーバーだけでなくクライアントマシンまで被害を受けてしまうかもしれない。
そのリスクを少しでも減らそうという試みであり、万が一の外部からの侵入に少しでも手間をかけさせようという狙いなわけです。
Wi-Fi Routerの設定
内部LANを構築するルーターは、PPPoEではなく通常の接続となります。
WAN側(DMZ領域)、LAN側(内部LAN側)ともに固定IP(固定のプライベートアドレス)を設定します。
これは、ルーターの設定画面で作業することになります。
クライアントマシン(192.168.2.2/24)からブラウザで、http://192.168.2.1/ のアドレスへとアクセスして設定を行う。
Wi-Fi Routerの設定
・WAN側設定(インターネット)
IP固定(PPPoEを無効に)
WAN側IPアドレス: 192.168.1.4
サブネットマスク: 255.255.255.0
デフォルト・ゲートウェイ: 192.168.1.1
DNSサーバ: 192.168.1.1
・LAN側設定
LAN側IPアドレス: 192.168.2.1
サブネットマスク: 255.255.255.0
こうすることで、ルーターを境に内側と外側で、違うネットワークアドレスを持つプライベートアドレスのLAN環境を構築できます。
問題点や課題
メリットだけ見えるようなDMZと内部LANを分離するLAN環境ですが、デメリットもいくつか。これらはおいおい解決するか、妥協する。
1.内部LAN側から、DMZのサーバーへ名前でアクセスできない。
IPアドレスでアクセスする必要がある。
2.ルーターに、ファイルサーバーのプロトコルを通す設定を行う必要がある。(追記部分の理由により削除)
3.IPマスカレードの設定。(よく分かってないので今後勉強。)
4.内部LAN側からDMZのサーバに接続する場合、DMZのサーバのSSHサーバ設定。
5.さらにセキュリティを高めるためにNATやIPマスカレードだけでなく、パケットフィルタを利用する。
いつも拝見させてもらって参考にさせてもらっています。
お世話になります。
ご教授願いたいのですが、私も同様のネットワークで、
公開したいLinuxのサーバの他に、LAN内で利用するファイルサーバを構築しております。Linuxの方はDNSとメールサーバとしてしか使っていません。プロバイダは一応固定IPです。Linuxの方はネットワークやサーバの勉強がてらといった所で本格的な運用とまでではありません^^;
ネットワークを分離環境のもとで
貴殿のようにLAN内でしか通常使わないファイルサーバーを、
特定のポートのみ開けて外部からもアクセス可能にする為の
ポートフォワーディングやフィルタリングの設定は、
この場合、WiFi Routerに施すのでしょうか?
それとも大元のRouterに施すのでしょうか?
(各機器のIPアドレスなどは貴サイトのまんまにしています)
私の環境ですが、ファイルサーバはWindowsHomeServer2011です。
基本LAN内でしか使いませんが、リモートアクセスできるように
80/443/4125番を開ける必要があります。
WANから来た要求パケットをどこのIPに振り分けるか、
このポートに対しての要求なら192.168.2.3にのみ流して、
他はブロックする。。。
みたいな設定は大元のRouterにするのかWiFi Routerにするのか
分からずにいます。
(25番と110番は192.168.1.2へ。80/443/4125は192.168.2.3へ)
↑前者なら大元のRouterに設定するのは分かるのですが、
例えば後者なら大元のRouterに80/443/4125へのパケットは、とりあえず192.168.1.4に対して流すような設定を行い、改めて、今度は
WiFi Routerに対して192.168.1.4に来た要求パケットを改めて、
192.168.2.3に流す、といった二重のポートフォワードおよびフィルタリングの設定を行うべきなのでしょうか?
説明が下手ですみません。もしよろしければ、教えていただけないでしょうか。宜しくお願い致します。
>貴殿のようにLAN内でしか通常使わないファイルサーバーを、特定のポートのみ開けて外部からもアクセス可能にする為のポートフォワーディングやフィルタリングの設定は、この場合、WiFi Routerに施すのでしょうか?
それとも大元のRouterに施すのでしょうか?
コメントありがとうございます。
難しいですね‥
外側のルーターでパケットフィルタリングで、内側ファイルサーバー80番ポートへのリクエスト→内側のルーターへ転送。
内側のルーター(Wi-Fiルーター)で、80番ポートの開放設定。
と思いつきましたが、実際に試してはいませんので分かりません。
■この記事のトラックバックURL:
http://www.mapee.jp/mpe334/mt-tb.cgi/521
以下のHTMLタグをトラックバック送信元ページ内に挿入して下さい。
※この記事へのリンクがない、また関連のないページからのトラックバックは反映されませんので、ご了承下さい。
