[centos-users 1180] Re: LINUXルーターを作った時の疑問について教えて下さい。

tamio wada mimke4933 @ zeus.eonet.ne.jp
2009年 5月 28日 (木) 00:24:33 JST


こんばんは、楠根さま。

投稿元の和田です。

貴重なアドバイス有難う御座います。

今回、この様な投稿をしておきながら何なんですが、私の知識不足と経験不足、
そして何より理解力不足であるのが、大元の原因であります。申し訳りません。

しかし私にLinuxルーターを依頼してきた友人も、そんなに深く考えて居たとは、
思えない節がありました。

というのも最初は、友人はFreeBSDでルーターを建てようとしていたのですが、
インターネットに繋がったり、繋がらなかったりし、不安定でした。
私は、FreeBSDの事がサッパリといって分からないのですが、そのFreeBSDルーターの
pfの設定を見ている限り、natによるリダイレクト?で全てを解決しようとしていました。
でも繋がったり繋がらなかったりしたので、私「にLinuxで」という依頼が来たという次第です。

そこで最初は、pfの設定を色々とググったり、その友人の成功している例を載せ換えてみたり
して、試したのですが上手く行きませんでした。(最近は、pfの設定もググっても余り見つからない
ようです。)

そこで私が少しばかり経験があり、ググると沢山、資料が出てくるLinuxに置き換えた次第です。

ですが、どこにもDNAT+MASQARADEで「外部からも内部からも同じグローバルIPで引ける設定」が
載っておらず、またその様なルールを書く自信もなかったので、最初は、断りました。 


しかし私に強固に「外部からも内部からもglobal addressでアクセス出来るように
して欲しい」という要望だけを突き付けてきました。そこで初めは、理解出来ないから、 

技術力不足だからと素直に言って「出来ません」と言っていたのですが、どうしても
方針を変える素振りを見せないので(終いにはFeeBSD文化云々を語り出す始末でした。)、 

ここでご意見を伺って、それを元に何とか説き伏せようとした次第です。

またその友人も深い設計思想があってそうしたのではなく、「namedを走らせた場合、新たにドメインの
追加をした際、namedの世話が大変になるから」という理由だけだったので、余計にセキュリティー
的な意味合いを無理にこじつけて、断る方向へ持って行くしかなかったという次第です。 


私利私欲の為にMLを使ってしまい申し訳りませんでした。

今度この様な事態に陥った場合は、素直に「技術力がないので出来ません」と断ろうと思います。

貴重なご意見、有難う御座いました。

和田民雄






----- Original Message ----- 
From: "Takeshi Kusune" Sent: Wednesday, May 27, 2009 9:07 PM
Subject: [centos-users 1179] Re: LINUXルーターを作った時の疑問について教えて下さい。


> 楠根です。
>
> (2009/05/26 2:36), ballistyx さんは書きました:
>>  LAN内からルータのグローバルIPを使ってアクセスできるのは、外部からアク
>> セスされる接続元のIPがプライベートとループバックを拒否していないことによ
>> るものと思います。IPスプーフィング対策がなされてないのでは?
>
> 私が以前管理していたとある LAN 環境では、Linux box をルータにしてましたが、 
> 
> global address を持った I/F への INPUT を port などによって振り分け、
> サーバへ DNAT + MASQUERADE で転送していたので、
> LAN 内外問わず global address でアクセスできていましたよ。
> 「アクセスができる=対策がなされていない」という意味がよくわかりません。
>
>>  余談ですが、市販されているルータではこれを拒否する仕様が入っているので
>> LAN内にクライアントがいるときはプライベートアドレスで直接アクセスするし
>> かありません。
>>
>>  というわけで、LAN内からグローバルIPを指定してサービスを利用するのはお
>> すすめできません。グローバルIPに対してドメインを、LAN内のホストに対して
>> 同じドメインを振っている環境がよいのではないでしょうか。
>
> 深い知識のない人向けに設定項目が限られていて、
> 限られたリソースしか持たないような機器の仕様制限と、
> それがセキュリティ面でおすすめできないかどうかは関係ないように思います。
>
> LAN 内からのアクセスだけ直接アクセスさせるという設定は、
> 発信元の LAN 内外を問わずに全て同様に port forward させることと比べて、
> どのような理由からおすすめできないのでしょうか。
>
> 素人考えでいえば、内部からのアクセスだけ特別扱いするより、
> 全て外部からのアクセスと思って扱う方が安全側に倒した運用に思えます。
> 外部からのアクセスと思ってどうするかで全然違うでしょうけどね。
>
>
> 理解できない設計を理解できないまま実装してしまわないのは正しい見識ですが、
> 理解できないままもっともらしい理由をつけて設計そのものを否定するのは、
> 考えた上でその設計を選択している人にとってバカにされているのと同じです。
>
> 「その設計は正しいかもしれないが私は理解できないので実装は提供しかねる」
> と素直に言うまでにとどめておいて、余計な理由付けなどしないことです。
> --





centos-users メーリングリストの案内