[plamo:24002] Re: 固定IP1個でFirewall

[Shun-ichi TAHARA (田原 俊一)]

From: Shunta Susuki <shunta@leto.eonet.ne.jp>
Message-Id: <5C3A7E9D-2A03-11D9-A5D3-0030658F453C@leto.eonet.ne.jp>

> > iptables では、forward は input/output から独立して
> > いるので、とても簡単です。

> そうでしたか、、、。素人考えでご迷惑をおかけしました。
> natを使ってlocal側から出て行くportが、Serverアプリケーション
> (BIND,Postfix,apache,etc)が使っているportとぶつからないように
> なっているとは、、、。

あー、NATはIPのレベルですので、中から外の 80 番ポートにコネクションを
張っても、NATルータのポートに繋ぎに行くわけじゃないですから。

ルータが、通過するパケットのTCPヘッダを一部書き換えているだけです。

ちなみに、最初に樋口さんが仰ってる通り、仮にローカル側にも内部DNSとか
WWWとかを立てているのであっても問題ないはずです。

bind8は中と外で見せるゾーンを変えることができますし、Apacheもバーチャ
ルサーバの設定の応用でどうにかできそう。Postfix は、特に何も考えなくて
も問題なく動きますしね。


で、これとは別の問題で、このような事例があまり公開されていないのはなぜ
かというと、「きちんとした運用」をしようと思うと、iptables の設定がか
なり面倒になるからだと思います。

大抵はルータ(ファイアウォール)と独立させて、公開サーバをDMZ領域に置く、
という解法が、悩みごとが少なくて楽なんですよ。
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
田原 俊一   jado@flowernet.gr.jp, shunichi_tahara@zenrin.co.jp
                                  http://flowernet.gr.jp/jado/
FingerPrint:  16 9E 70 3B 05 86 5D 08  B8 4C 47 3A E7 E9 8E D9
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣