[linux-users:80219] Re: LANのルーティングについて（解決）

[Fumiyuki Oda <foda _at_ xxxxxxxxxxxxxxxx>]

小田＠名古屋専門校です。

おかげさまで、ルーティングの件解決しました。

何処がおかしかったかというと、

>ネットワーク 192.168.1.0 のサブネットマスクは、 255.255.255.0 じゃ
>ないでしょうか?
> <DBServer>
> Kernel IP routing table
> Destination     Gateway         Genmask         Flags Metric Ref Use Iface
> 192.168.1.0     192.168.2.254   255.255.255.255 UGH   0      0     0 eth0
                                              ^^^
でした。netmaskを 255.255.255.0 にすることにより、外部LANの端末から
DBServer に接続できました。恥ずかしいかぎりです（汗）。

>> <Gateway>
>> Routing Table:
>>   Destination           Gateway           Flags  Ref   Use   Interface
>> -------------------- -------------------- ----- ----- ------ ---------
>> a.b.c.f              DBServer             UGH      0    120
>> a.b.c.e              MailServer           UGH      0   3927
>
>グローバルアドレスである a.b.c.d, a.b.c.e, a.b.c.f ってのは、
>Gateway で強制的に目的のマシンに振っちゃうようにしてるんですか?
>
>> <DBServer>
>> Kernel IP routing table
>> Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
>> 192.168.1.0     192.168.2.254   255.255.255.255 UGH   0      0        0 eth0
>> 192.168.2.0     *               255.255.255.0   U     0      0        0 eth0
>> default         192.168.2.1     0.0.0.0         UG    0      0        0 eth0
>
>DBServer は Linux なんですよね、多分。
>これ見ると、インターフェースには a.b.c.f というアドレスは割り当て
>られていませんよね?
>それとも、 Gateway に NAT 機能があって、 a.b.c.f -> 192.168.2.2
>のアドレス変換とかをやっているんでしょうか?

このルーティングについては、まさにそのとおりです。Gateway 上に NAT を
かましてあって、a.b.c.f、a.b.c.e の行で強制的に振っています。

>この構成では別セグメントに置くことにセキュリティ上のメリットは
>ないと思います。
>むしろ、業務用 LAN に穴を開ける原因になっているのではないでしょうか。
>セキュリティ的には DBServer を MailServer と同じセグメントに置いて、
>業務用 LAN は実習用 LAN 側からアクセスできないように、ルータ等で
>分離すべきだと思います。
>もっとも、こんな複雑過ぎるネットワーク構成は止めて、一から設計し直す
>方がずっとメリットが大きいと思います。

本当に複雑です。ネットワークの構成をもっとシンプルにしていきたいと
思います。

しかし、システムのお守りは辛いですね（笑）。

-- 
------------------------------------
愛知県立名古屋高等技術専門校　訓練課
コンピュータ制御科担当　　小田　文之
e-mail : foda _at_ nagoya-vti.ac.jp
Tel: 052-917-6711  Fax: 052-917-6331
------------------------------------