[plamo:18528] Re: TCPWrapperでnamedの制御networ構成です。

[naomijj]

KATOH Yasufumi <karma@prog.club.ne.jp>さん：

竺原です。どうも親切にアドバイス有り難うございます。
一人で考えていると、不安にかられて、どう考えたらよいか
解らなくなるときがあります。（Linuxだけの話でなく仕事中なども）
そんな時話し相手がいて、構想がはっきりして、盛り上がってくると
とても充実した高品質・高性能な物になったりします。

別スレッドで
  - 自分のやった設定はどういう意味を持つのか? をきちんと理解する
    →よくウェブで検索してその設定をそのまま写したレヴェルで質問してく
      る人がいますよね? (ひどいのになると仕事でやっているにもかかわら
      ず!!) 「このサイトの設定をそのまま書いたんですが動きません」問題
      外です．
とありましたので、(((がーーーーーん！！))) 自分のことを言われているのか？
と、冷や汗ものでしたが、私の場合プライベートで構築中です。
身内の会社案内と有るのは、現在住んでいる所が借家で、FTTHが引き込めず、
身内の家が、B-FLEのサービスエリアになって、パソコンを自由に置いても構わない
と言うことで（うれし涙）、電気代は構わないと言うことで（更にうれし涙）
お礼の意味も込めて、会社案内を載せようとしている次第です。
自分も個人事業者なので、これに便乗して案内を載せたいですが？
（もうこうなると業務なのでしょうか？）
パソコンにかかる代金や、インストール設定費等利益や売り上げは０です。
ただ、今回の経験は自分の良きスキルとして将来活用しようとは思います。
（もうこうなると業務なのでしょうか？）
設定ファイルは、講習に行ったときに、ノートに一生懸命メモしていたのを
引っ張り出して、１から書いていた物を利用しました。
ただ、他にも色々とフォワーダーの設定など入れていたので、消しています。
ネットワークサーバー構築ガイドなども見つつ色々やってみてこうなってます。
ただ、これがたまたま動いた事になるのだと思います。
でも手順としては、
インストール
各種設定
動作確認（特にNIC）
サーバーインストール
サーバー設定
動作確認
セキュリティーを考慮した設定の詰め
動作確認
意地悪テスト（最終確認）
運用
ではないでしょうか。多少前後するとは思いますけど、間違ってたらごめんなさい。
動作確認で、うまく行かなければ色々とやってみるのだと思いますけど。
少なくとも、本業である自動制御では自分は、こうです。
QCなどでは、特性要因をこっちの考え、その正反対の答えと出しながら、
一つの対策を洗い出し、ダメなら、また同じようにして別の対策を出す。
プログラムのデバックもこういった作業の積み重ねだと思いますけど？
もし、Linuxがこういった生産活動と全く無縁の物なら、私としての利用価値が無いです。
エンジニア心をくすぐる事もないでしょうし、触っていて楽しいとも思わなかったでしょう。

MLに反論する物でなく、自分の価値観の話です。
あまり変にこだわり過ぎると肩こっちゃいますから^^;)

> そうであれば，添付の図よりもセキュアになるでしょうね．サーバ群とクライ
> アントが同じセグメントにいると，サーバがやられたらクライアントも攻撃を
> 受ける可能性がありますが，サーバとクライアントのセグメントを分けておい
> て，境界のルータでサーバ->クライアント方向の接続を遮断するとか，目的に
> 応じて開閉したりできますよね．いわゆる DMZというやつですね．
なるほど。実際にやってみようとして考えながらこういう話になると、
解ってきます。雑誌や本だけで、ふーーん、あっそう、と読み流すだけでは
その時は理解している様でも、しばらくすると何のことだったか？
常日頃、Linuxに触れているわけではないので、こんな事の繰り返し。
ところで、DMZは「 絵でわかるLinuxセキュリティー」という本では、
プロキシーサーバーの所と、ファイアウォールを使ったネットワーク構築に載っています。
DMZとは、非武装地帯の意味で解説があります。
でも、ダイレクトにグローバルIPでサーバーの運用はさけたいなー。

> ルータは unnumbered なルータということになるのでしょうけど，実は私はこ
> のようなルータ使ったことないので，よく機能を知りません．
> 
> 静的 NAT にさらにフィルタかかるんですよね? ポートフォワードも複数割り
> 当たった (?) アドレスそれぞれに対して割り当てられるのでしょうか?
すみません。この辺りは、重要なのですけど、ルーターの取り説をもう一度良く読んで
どの様に設定していくか決めたいと思います。

> このようだと dns-pm, dns-sc は例えば hint 情報不要 (zone "." が要らな
> い) で，自身のドメインの zone 情報だけを持つようにして，"recursion no
> fetch-glue no" とか設定すれば良いですね．
> 
> # dns-pm, dns-sc 自身が名前解決必要な場合ちょっと工夫がいるかも? (よく
> # わからん)
> 
> で，dns-local は自身のドメインの情報 + キャッシュサーバ (もしくは
> forwarders 設定で問い合わせは全部プロバイダの DNS サーバにするか)とし
> て構築して，ローカルからしか query を受け付けないようにして，自身のド
> メインの情報としてはプライベートアドレスを返すようにすれば良いですね．
なるほど。この様に組むことも出来るのですね。
ただ、ISPの方で、逆引き設定はされますので、
基本的部分は、ISPの示す設定ファイルに合わせたいと思います。
この辺りを、書けと言われていたような。
        今頃わかってきた・・・・・・・

> よろしくと言われても... f(^_^;)
甘えっぱなしで、ごめんなさい。

> # 私のアドバイスが合っているという保証はどこにもありません．攻撃目的で
> # わざと穴を作ってアドバイスしている場合も... :-p
えーー！ちょっと警戒。^^;)