[linux-users:80209] Re: LANのルーティングについて

[MATSUDA Yoh-ichi / 松田陽一<matsuda _at_ xxxxxxxxxxxx>]

こんにちは。松田陽一 _at_ PAL-NET三鷹です。

From: Fumiyuki Oda <foda _at_ nagoya-vti.ac.jp>
Subject: [linux-users:80204] Re: LANのルーティングについて
Date: Thu, 15 Feb 2001 14:15:18 +0900

> 小田＠名古屋専門校です。

> すいません。ネットワーク構成図がまずかったです。
> 実際には下図の構成になっています。
> -------------------------------------------------------------
>               Internet
>                  |
>   OCNエコノミー  |
>                  |
>               routerA                          |公開アドレス(a.b.c.240/28)
>          a.b.c.g |
>                  |
> (Gateway-out)    | (Mail)          +--             |  
> hme1:a.b.c.d     | hme0:172.16.1.3 |               | 
>               Gateway--------------+--MailServer   |実習用LAN(172.16.1.0)
> hme2:192.168.2.1 |                 |   172.16.1.2  |(80台)
> (Gateway-in)     |                 |   (a.b.c.e)   |
>                  |                 +--             |
>                  |
>               +--+-------+--------+            |
> 192.168.2.254 |          |        |            |業務用LAN(192.168.2.0)
>            routerB            DBServer         |(10台)
>                /             192.168.2.2       |
>               /               (a.b.c.f)        |
>        ISDN  ----
>                /
>               /
>            routerC                             |
> 192.168.1.254 |                                |
>            ---+--------+---                    |外部LAN(192.168.1.0)
>                        | 192.168.1.1           |
>                      Client                    |
> 
> ---------------------------------------------------------------

> <Gateway>
> Routing Table:
>   Destination           Gateway           Flags  Ref   Use   Interface
> -------------------- -------------------- ----- ----- ------ ---------
> a.b.c.f              DBServer             UGH      0    120
> a.b.c.e              MailServer           UGH      0   3927
> a.b.c.240            a.b.c.d              U        3    763  hme1
> 192.168.2.0          Gateway-in           U        2    184  hme2
> 172.16.1.0           Mail                 U        2   2893  hme0
> default              a.b.c.g              UG       0  89491
> localhost            localhost            UH       0 542189  lo0

グローバルアドレスである a.b.c.d, a.b.c.e, a.b.c.f ってのは、
Gateway で強制的に目的のマシンに振っちゃうようにしてるんですか?

> <DBServer>
> Kernel IP routing table
> Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
> 192.168.1.0     192.168.2.254   255.255.255.255 UGH   0      0        0 eth0
> 192.168.2.0     *               255.255.255.0   U     0      0        0 eth0
> default         192.168.2.1     0.0.0.0         UG    0      0        0 eth0

DBServer は Linux なんですよね、多分。
これ見ると、インターフェースには a.b.c.f というアドレスは割り当て
られていませんよね?
それとも、 Gateway に NAT 機能があって、 a.b.c.f -> 192.168.2.2
のアドレス変換とかをやっているんでしょうか?

> <DBServer>
> Kernel IP routing table
> Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
> 192.168.1.0     192.168.2.254   255.255.255.255 UGH   0      0        0 eth0
> 192.168.2.0     *               255.255.255.0   U     0      0        0 eth0
> default         192.168.2.1     0.0.0.0         UG    0      0        0 eth0

ネットワーク 192.168.1.0 のサブネットマスクは、 255.255.255.0 じゃ
ないでしょうか?

> > 私の目からは色々無駄に思えてならない箇所が幾つかあります。
> > 私なら、単純に
> >[図]
> > こんな風にするでしょうか。
> 
> 私自身ももっとすっきりしたいと思っています。もともとは実習用
> LANだけの環境でしたが、外部に情報を提供することになり、DBServer
> を追加することになりました。その時の条件でDBServerはセキュリティの
> 関係で別セグメントにすることが要件にあり、上記のシステム構成にしました。

この構成では別セグメントに置くことにセキュリティ上のメリットは
ないと思います。
むしろ、業務用 LAN に穴を開ける原因になっているのではないでしょうか。
セキュリティ的には DBServer を MailServer と同じセグメントに置いて、
業務用 LAN は実習用 LAN 側からアクセスできないように、ルータ等で
分離すべきだと思います。
もっとも、こんな複雑過ぎるネットワーク構成は止めて、一から設計し直す
方がずっとメリットが大きいと思います。
--
♪ねぇ、雪が降るまえに。
松田 陽一(yoh)
mailto:matsuda _at_ palnet.or.jp
http://www2.palnet.or.jp/~matsuda/index.htm