[plamo:18546] Re: TCP Wrapperでnamedの制御networ構成です。

[KATOH Yasufumi]

加藤泰文です．

>>> On Wed, 23 Apr 2003 20:22:50 +0900
    in message   "[plamo:18528] Re: TCP Wrapperでnamedの制御networ構成です。"
                  -san wrote:

> 別スレッドで
>   - 自分のやった設定はどういう意味を持つのか? をきちんと理解する
>     →よくウェブで検索してその設定をそのまま写したレヴェルで質問してく
>       る人がいますよね? (ひどいのになると仕事でやっているにもかかわら
>       ず!!) 「このサイトの設定をそのまま書いたんですが動きません」問題
>       外です．
> とありましたので、(((がーーーーーん！！))) 自分のことを言われている
> のか？

全く竺原さんの事は頭にありませんでした．
  1. ウェブを見て設定をマネする (私もよくやります)
  2. 動かない (私もよく遭遇します)
  3. 設定の意味を考える
  4. もう一度 google 先生に聞く (よくやります)
  5. ML で質問する
ってのは別にフツーの話じゃないかと思うんですよね．3 とか 4 を飛ばして，
しかも理解しようとする姿勢がなくて「とにかくすぐ動かしたいから動く設定
を教えて」みたいな質問がよく技術系 ML であるんで，そういうのが頭にあり
ました．よく言われる「ML をサポートセンターと勘違いしている人」ですね．

> でも手順としては、
> インストール
> 各種設定
> 動作確認（特にNIC）
> サーバーインストール
> サーバー設定
> 動作確認
> セキュリティーを考慮した設定の詰め
> 動作確認
> 意地悪テスト（最終確認）
> 運用
> ではないでしょうか。多少前後するとは思いますけど、間違ってたらごめん
> なさい。

良いと思いますよ．私のサーバ構築の手順も竺原さんと変わりません．まずイ
ントラネット上で動作確認して，設定変えて DMZに持っていって，更に動作や
セキュリティのチェックをして，本番に移行します．

> なるほど。実際にやってみようとして考えながらこういう話になると、
> 解ってきます。雑誌や本だけで、ふーーん、あっそう、と読み流すだけでは
> その時は理解している様でも、しばらくすると何のことだったか？
> 常日頃、Linuxに触れているわけではないので、こんな事の繰り返し。

そうですね．私は最初にサーバ構築なんかをするまではしばらく雑誌をひたす
ら読むだけでした．その後，雑誌を見ながらイントラネット内のサーバの設定
や管理をするようになって，少しずつわかってきて，そのあいだも色々書籍を
読みながら「インターネットにつなぐときはこういう設定も必要だろうなあ」
とかイメージしていました．

その後，私も知り合いの所が専用線 (当時 128k ですげーと思ってましたが)
を引くことになって，じゃあそこに折角だしサーバを置こうという話になって，
それじゃあ勉強がてらに私にやらせてよ，ってのがはじめてでした．

# もしかしたらその前にインターネット上の NT サーバの構築と運用を仕事で
# やっていたかも? (^_^;)

それからがかなり勉強になりましたね．だからやってみないと勉強にならない
というのはそうだと思います．

ただうまく言えませんが「こんな質問をするレヴェルでつなぐなよ」って言い
たくなるような質問って多いんですよね (竺原さんはそれ以上のレヴェルにあ
ると思います)．

で「やってみないと勉強にならないだろう」とか「仕事でやっているので仕方
ない」とか開き直る例をいくらでも見ているので (ココでは見たことないです
が)，そういうのを頭に浮かべながら書いているとどうしても多少厳しめに読
める意見になっているのかもしれません．

「このレヴェル」ってのがきちんと説明できるわけではないので，そこが難し
い所ですよね．

> ところで、DMZは「 絵でわかるLinuxセキュリティー」という本では、
> プロキシーサーバーの所と、ファイアウォールを使ったネットワーク構築に載っています。
> DMZとは、非武装地帯の意味で解説があります。

「非武装」とあるので「武装しなくていいや」って受け取られかねないので，
この言葉はあまり良い言葉とは言えないと思います (という意見も良く見ます
ね :-)．

> でも、ダイレクトにグローバルIPでサーバーの運用はさけたいなー。

ダイレクトにつないで Router でフィルタ全くかけずに IDS なんか運用する
と，それはそれでおもしろかったりするのですが，安全を考えるとやっぱり
ねー．

ただ
Internet -- (Router) -- 公開サーバセグメント -- (Router) -- イントラネット
って構成を取るのだったら，Internet 直結の Router でフィルタをかけられ
ますから，公開サーバのセグメントはグローバルでも良いかもしれませんね．
まあ NAT でプライベートでも良いのですが．

> えーー！ちょっと警戒。^^;)

はい．十分警戒してください．:-p

-- 
==============================================
((((    加藤泰文
○-○                karma @ prog.club.ne.jp
==============================================
(Web Page) http://www.ae.wakwak.com/%7Ekarma/
==============================================
    中南米の音楽のページを更新 (April 20)