サーバーを公開しているのでセキュリティー対策には気を遣う。
ポート開放を最小限にしているものの、外部からの攻撃が心配なので、公開しているWebサーバと、家庭内のLANとをセグメントで分けることにした。
元々無線ルーターは、アクセスポイントモード(ブリッジモード)で使っていたのだが、インターネットに繋がるサーバーと同一セグメントにPC等を配置しないよう、無線ルーターのルーター機能を活かし、下図のように二重にルーターを置いた。設定がややこしいことに加えて通信速度にも少なからず影響があるので、一般に避けるべきとされる配置である。
これにより、アクセス制限は次のようになる。
●Webサーバ(ゾーンA)側から家庭内LAN(ゾーンB)にはアクセス出来ない。
●外部から家庭内LANのゾーンBにも直接アクセス出来ない。
●家庭内LAN(ゾーンB)側からWebサーバ(ゾーンA)側にはアクセス出来る。
●家庭内LANからの応答パケットの場合に限り、WebサーバのゾーンA側から、または外部から、ゾーンB(家庭内LANの機器)側に通過出来る。
外部に向けて最小限に開けたポートはWebサーバにだけパケット通過させ、それ以外の通信は、二つのルーターのファイアウォールでガードさせるというもの。またWebサーバでもパケットフィルタリングを行って、不正アクセスに対処している。
万一Webサーバが乗っ取られても、LANへの影響を抑えることができるが、こんなに努力してもサーバやPCにウイルスが侵入したら何が起こるか分からない。
無駄な戦いを避けるにはどうしたらいいのだろう。
顔を見ぬ相手だからできるのか。
戦好きの人類の、永遠の課題なのか。
少なくとも互いに相手を良く知ることは、無用の戦いを回避する手段の一つといえるが、見えぬ相手をどう理解したら良いのか。
自分に都合の良いことを一方的に主張し相手に強要を迫る、近頃の「反知性主義」と重なるような不気味な状況ではある。ネット環境に性善説は通用しないと云う一言で片づけたくない問題である。
コメント
初めまして。
お世話になります。
お聞きしたことがあるのですが「二重ルータ」でネットーワークを構築する場合どの様な設定が必要になってくるのでしょうか。
お手隙の際に教えて頂ければと思います。
oyama様
コメントありがとうございます。
きょうは遅い時間(小生の勝手な行動なのですが...)なので、後日改めて連絡させていただきます。
取り急ぎお礼申し上げます。
工房管理人様
コメントの返信誠に有難うございます。
連絡お待ちしております。
oyama様
遅くなりました。
ISP(プロバイダ)
|
ルータ1段目―――――――
| |
公開サーバ ルータ2段目
|
クライアント
この状態での設定は、例えば以下のようになりますが、
クライアントからネットゲーム等での、ルータを介さない直接通信はできません。
●サーバとして公開するパソコンに、ルータ1段目LAN側のプライベートIPアドレス(固定)を設定。
●ルータ1段目(WAN側:グローバルIP,LAN側:192.168.1.1/24とする)では、
・サーバパソコンに設定した固定IPプライベートアドレスと、ルータ1段目WAN側のグローバルIPアドレスの関連付けを行い、Webサーバであればポート80番へのアクセスを許可します。
●ルータ2段目(WAN側:ルータ1段目のLAN側固定IP,LAN側:192.168.0.1/24とする)では、
・WAN側に 192.168.1.250等のルータ1段目LAN側の固定IPプライベートアドレスを設定。
デフォルトゲートウェイ:192.168.1.1
DNSサーバ :192.168.1.1
・LAN側:192.168.0.1/24とする
クライアントへのIPアドレスは自動配布で良いので、クライアント設定は、
デフォルトゲートウェイ:192.168.0.1
DHCPサーバ :192.168.0.1
DNSサーバ :192.168.0.1
となります。
機器によって具体的設定方法が異なりますので、「ルータ,二重」等でネット検索してお調べ下さい。尚、ポート解放は危険なことですし二重ルータでの通信速度低下もありますので、設定はあくまでも自己責任でお願い致します。
以上、簡単ですが参考にして頂ければ幸いです。
お世話になっております。
返信有難うございます。
詳しい内容誠に有難うございます。
参考にさせて頂きます。