[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[plamo:24002] Re: 固定IP1個でFirewall
-
From:Shun-ichi TAHARA (田原 俊一)
-
Date:Sat, 30 Oct 2004 08:51:48 +0900 (JST)
- Subject: [plamo:24002] Re: 固定IP1個でFirewall
- From: Shun-ichi TAHARA (田原 俊一) <jado@xxxxxxxxxxxxxxx>
- Date: Sat, 30 Oct 2004 08:51:44 +0900 (JST)
From: Shunta Susuki <shunta@leto.eonet.ne.jp>
Message-Id: <5C3A7E9D-2A03-11D9-A5D3-0030658F453C@leto.eonet.ne.jp>
> > iptables では、forward は input/output から独立して
> > いるので、とても簡単です。
> そうでしたか、、、。素人考えでご迷惑をおかけしました。
> natを使ってlocal側から出て行くportが、Serverアプリケーション
> (BIND,Postfix,apache,etc)が使っているportとぶつからないように
> なっているとは、、、。
あー、NATはIPのレベルですので、中から外の 80 番ポートにコネクションを
張っても、NATルータのポートに繋ぎに行くわけじゃないですから。
ルータが、通過するパケットのTCPヘッダを一部書き換えているだけです。
ちなみに、最初に樋口さんが仰ってる通り、仮にローカル側にも内部DNSとか
WWWとかを立てているのであっても問題ないはずです。
bind8は中と外で見せるゾーンを変えることができますし、Apacheもバーチャ
ルサーバの設定の応用でどうにかできそう。Postfix は、特に何も考えなくて
も問題なく動きますしね。
で、これとは別の問題で、このような事例があまり公開されていないのはなぜ
かというと、「きちんとした運用」をしようと思うと、iptables の設定がか
なり面倒になるからだと思います。
大抵はルータ(ファイアウォール)と独立させて、公開サーバをDMZ領域に置く、
という解法が、悩みごとが少なくて楽なんですよ。
_______________________________
田原 俊一 jado@flowernet.gr.jp, shunichi_tahara@zenrin.co.jp
http://flowernet.gr.jp/jado/
FingerPrint: 16 9E 70 3B 05 86 5D 08 B8 4C 47 3A E7 E9 8E D9
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
- Follow-Ups
-
- [plamo:24005] Re: 固定IP1個でFirewall, Shunta Susuki
- References
-
- [plamo:23996] Re: 固定IP1個でFirewallと各種サー, Shunta Susuki
- [plamo:23997] Re: 固定IP1個でFirewallと各種サー, OOSATO,Kazzrou
- [plamo:24000] Re: 固定IP1個でFirewall, Shunta Susuki
[検索ページ]
[メール一覧]
Plamo ML 公開システム