[centos-users 1205] Re: LINUXルーターを作った時の疑問について教えて下さい。

Takeshi Kusune kusune @ sfc.wide.ad.jp
2009年 6月 23日 (火) 00:52:56 JST


楠根です。

(2009/06/22 9:35), Nakatsuka さんは書きました:
>>> (1)host1   --+-------------- (4)gw -----------------> internet
>>> (2)client1 --+    (local-ip)      (global-ip)
>>> (3)client2 --+
>>>     (1) 192.168.0.101  Vine
>>>     (2) 192.168.0.100  Vista
>>>     (3) 192.168.0.102  CentOS
>>>     (4) 192.168.0.200  Vine  / 219.111.187.70(global-ip) AitH"接続
>>>     (2)のVista にVMWareをいれて (1),(3)は仮想マシン環境です。

> 楠根さんのメール1
> --------- [centos-users 1179]  ---------(ここから)
>> 素人考えでいえば、内部からのアクセスだけ特別扱いするより、
>> 全て外部からのアクセスと思って扱う方が安全側に倒した運用に思えます。
> --------- [centos-users 1179]  ---------(ここから)
> サーバ上のアクセスログには
> intermからのアクセスログはglobal-ipになっていません。
> すなわち、内部からのアクセスと認識していると思います。

何か勘違いされているように思うのですが。

私が件のメールで「全て外部からのアクセスと思って扱う」と書いたのは、
「全て」と書いているように、送信元や宛先のアドレスが何であれ、
外部からのアクセスと思って扱うべき、ということです。

もっと正確にいえば、セキュリティを高めるという観点において、
「内部」や「外部」等区別して扱うことはさしたる意味を持たない、
ということでもあります。

今回の例でいえば、(1) のサーバからみてどこからのアクセスに見えようが、
送信元が 192.168.0.100 だろうが 219.111.187.70 だろうが関係ない。
全て厳しく処理すべき、というのが正しい解釈です。

> 楠根さんのメール2
> --------- [centos-users 1196]  ---------(ここから)
> 
>> <<やりたいこと>>
>>
>> interm からも exterm からも、
>> http://172.16.1.2/ を参照すると wwwserv の Apache のコンテンツが見えてほしい。
>>
>> <<結果>>
>>
>> interm からも exterm からも http://172.16.1.2/ で Apache の top が見えた。
>> (HTTP クライアントのかわりに telnet コマンド + 手入力の HTTP を使用)
> --------- [centos-users 1196]  ---------(ここまで)
> 
> とありますが、
> クライアントマシンからその様にアクセス出来たように見えただけで、
> 実はサーバ上から見た場合その様になっていないのではないか。
> と言うのが疑問点です。

色々な概念をごっちゃにされていませんか?
IP header、TCP header、HTTP header、それぞれに含まれる各種の IP address、
それがどの時点でどんな目的でどのように参照されるか正確に理解していますか?

それが理解できていない状態でこのような話をするのは、
四則演算をマスターせずに二次方程式の使い方を云々するようなものです。

>> <<やりたいこと>>
>> interm からも exterm からも、
>> http://172.16.1.2/ を参照すると wwwserv の Apache のコンテンツが見えてほしい。

と書いているように、上記の確認の元となった話は、
宛先に global IP address を使って gateway のいずれの側からもアクセスしたい、
という話でしたから、こうした試行になります。

「サーバ上から見た場合その様になってない」という意味がわかりませんが、
LAN 内からのアクセスを LAN 外からのアクセスに見せかけたいということであれば、
そういう設定をしていませんからそう動かないのは当たり前です。

そもそも、私と違う方法で行なった実験の結果で、私の実験について云々されても困ります。
今回の構成で私の方法を使えば、
どちらの場合も送信元は mod_rpaf を使わない時同様 192.168.0.200 と記録されます。


>  ※クライアント側の設定からみたら実現出来ているのですけど。
>   サーバ側からみると、内部のクライアントでlocal-ipによる
>   アクセスするのとなんら変わりない思うのですが。

何が「なんら変わらない」と言っているのかわかりませんが、
何がどのように問題なのですか?

前にも「実現したい内容がわからないので、違うならもっと説明が必要」と書きましたが、
何をしたいのかはっきりして下さい。

目的が行方不明になっていませんか?
あるいは、いろいろなケースがごっちゃになっていませんか?

この話の元となったケースの目的を [centos-users 1165] から引かせてもらいます。

| namedを走らせた経緯としては、win1がノートパソコンで外へも持って出ます(外に出た時は、
| ドコモのデーター通信カードでFreeBSDにアクセスします)、そして帰って来た時にはワイアレスLANでLAN内
| からサーバーに接続したい、その際にwin1のメールソフト等の設定を変えたくないというのが、
| 概ねの理由になります。
| 
| そこで友人は、「eth0側の固定グローバルIPでLAN内からも接続出来るようにして欲しい」と言って来ました
| ので、メールソフト等の設定を変えたくないなら内向き、外向きのDNSを建ててFQDNでアクセス出来るように
| すれば問題ないのでは?と提案したところ、了承してくれましたのでnamedを走らせることにしました。

この中には、送信元アドレスについて全く何も要求がありませんでした。
別々の話をするのであれば、その条件について明示していただけないと、
これと同一の話が続いていると解釈してしまいます。
--
Takeshi Kusune <kusune @ sfc.wide.ad.jp>



centos-users メーリングリストの案内