DMZ構築・プライベートアドレスを分離する

スポンサーリンク
スポンサーリンク
ライフスタイル関連のコンテンツ
お金 | 仕事 | 勉強 | プライベート | 健康 |
プログラミング関連のコンテンツ
C言語/C++入門 | Ruby入門 | Python入門 | プログラミング全般

今年は自宅サーバーを公開する目標と、先日入手したiPhone用に無線LANルーターを新調したので、仕事場のLAN環境を再構築してみました。
サーバー公開を視野に入れて、DMZ領域を設けて、内部LANとDMZ領域のプライベートアドレスを分離することにしました。ごちゃごちゃ言うより百聞は一見にしかず、構築したLAN環境は以下の図のとおりです。

スポンサーリンク

DMZ・内部LANネットワーク構成図

netdiag3.gif

Network Notepad でネットワーク図を作成しました。
日本語解説:Network Notepad Homepage 日本語ページ

・DMZ: 192.168.1.0/24
サーバーを設置する。
Router(192.168.1.1/24)のポートを開くことで、WAN側からアクセス可能。

・内部LAN: 192.168.2.0/24
作業用クライアントのデスクトップやラップトップを設置。
iPhoneやモバイルノートからWiFi(無線LAN)接続。

実際に割り当てたネットワークアドレスはさておき、イメージとしては図のとおりです。台数ははしょってます。
ファイルサーバーの置所に悩みましたが、WAN側からのアクセスを考えなければ、内部LAN側に置いて良いかもしれない。

追記(2010/03/11):

twitterでアドバイスを頂き、ファイルサーバはDMZ上ではなく、内部LAN側のプライベートIPアドレスのネットワークアドレス上に配置するほうがいいとのことです。SMBプロトコルはルーター越えが面倒なのとセキュリティ向上のため。
したがってファイルサーバは、当初の赤字の×印した箇所(192.168.1.3/24)から、192.168.2.3/24 の箇所へと変更しました。アドバイスありがとうございました。

追記ここまで:

DMZと内部LANを分離するメリット

公開サーバー(Server: 192.168.1.2/24)は、絶えずセキュリティとの戦いを強いられる。
同一ネットワークアドレス上(192.168.1.0/24)に作業用クライアントマシンを設置していたら、公開サーバーのセキュリティホールで外部からの侵入を許した場合に、サーバーだけでなくクライアントマシンまで被害を受けてしまうかもしれない。
そのリスクを少しでも減らそうという試みであり、万が一の外部からの侵入に少しでも手間をかけさせようという狙いなわけです。

Wi-Fi Routerの設定

内部LANを構築するルーターは、PPPoEではなく通常の接続となります。
WAN側(DMZ領域)、LAN側(内部LAN側)ともに固定IP(固定のプライベートアドレス)を設定します。
これは、ルーターの設定画面で作業することになります。
クライアントマシン(192.168.2.2/24)からブラウザで、http://192.168.2.1/ のアドレスへとアクセスして設定を行う。

Wi-Fi Routerの設定

・WAN側設定(インターネット)
IP固定(PPPoEを無効に)
WAN側IPアドレス: 192.168.1.4
サブネットマスク: 255.255.255.0
デフォルト・ゲートウェイ: 192.168.1.1
DNSサーバ: 192.168.1.1

・LAN側設定
LAN側IPアドレス: 192.168.2.1
サブネットマスク: 255.255.255.0

こうすることで、ルーターを境に内側と外側で、違うネットワークアドレスを持つプライベートアドレスのLAN環境を構築できます。

問題点や課題

メリットだけ見えるようなDMZと内部LANを分離するLAN環境ですが、デメリットもいくつか。これらはおいおい解決するか、妥協する。

1.内部LAN側から、DMZのサーバーへ名前でアクセスできない。
  IPアドレスでアクセスする必要がある。
2.ルーターに、ファイルサーバーのプロトコルを通す設定を行う必要がある。(追記部分の理由により削除)
3.IPマスカレードの設定。(よく分かってないので今後勉強。)
4.内部LAN側からDMZのサーバに接続する場合、DMZのサーバのSSHサーバ設定。
5.さらにセキュリティを高めるためにNATやIPマスカレードだけでなく、パケットフィルタを利用する。

スポンサーリンク
 
スポンサーリンク