前回は
・VPNクライアントソフトウェアによるリモートアクセス!
・IPIPによる接続(NTTフレッツ網を利用したVPN)
・不正な通信の遮断設定
・部署毎に社内ネットワークを分離
を紹介しました。
今回も引き続きYAMAHAルータの実機検証を紹介します。
第5回目となる今回は自社サーバを公開する設定です。
独自ドメインを取得してホームページやメールアドレス使う場合、WEBサーバやMAILサーバはほとんどの企業がホスティング業者に依頼します。
しかしながら業務の都合上、自社サーバをインターネット上に公開しないと運用できないケースがあります。
今回はそのような場合を想定したルータの設定例を紹介します。
今回のネットワーク設定例の条件
・YAMAHA RTX1200を使用
・ISPから割り当てられるグローバルIPアドレスは1個
・3つあるポートをそれぞれ、WAN、LAN、DMZとして使う
・インターネットに公開するサーバはDMZに設置する
・HTTPとFTPのみサーバへアクセスさせる
DMZとは?
DMZはDeMilitarized Zoneの略で直訳すると非武装地帯と呼ばれます。
インターネットや社内ネットワークからも隔離された区域のことです。
外部に公開するサーバをここに設置することで外部からの不正なアクセスを防ぎ、万が一公開されたサーバが不正なアクセスで影響を受けても社内ネットワークには影響がおよぼさないようにします。
グローバルIPアドレスとは?
グローバルIPアドレスはインターネットに接続された機器が通信するために他の機器とアドレスが重複しないIPアドレスになります。
ネットワーク構成
今回検証するネットワーク構成になります。
公開するWEBサーバはLAN3のDMZに設置します。
プロバイダから割り当てられたグローバルIPアドレスは1個でLAN2に設定します。
WEBサーバから社内ネットワークのパソコンA、B、Cにはアクセスできません。
ルータの設定内容
■ルータ設定内容
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 |
ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.10.1/24 ip lan3 address 192.168.20.1/24 ip lan3 secure filter in 2000 ip lan3 secure filter out 3000 dynamic 100 101 pp select 1 pp keepalive use lcp-echo pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname (ISPの接続アカウント) (ISPのパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 ip pp intrusion detection in on ip pp nat descriptor 1 pp enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.10.0/24 * ip filter 1030 pass * 192.168.10.0/24 icmp ip filter 1031 pass * 192.168.20.11 tcpflag=0x0002/0x0017 * www ip filter 1032 pass * 192.168.20.11 tcpflag=0x0002/0x0017 * 21 ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp ip filter dynamic 201 * 192.168.20.11 www ip filter dynamic 202 * 192.168.20.11 ftp nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.20.11 tcp www nat descriptor masquerade static 1 2 192.168.20.11 tcp 21 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.10.101-192.168.10.150/24 dns server pp 1 dns private address spoof on |
※34、35行目はwww、ftpのアクセスのうち最初のパケット(SYN)だけを通します。そのあとに続く通信は48、49行目の動的フィルタで通信を通します。
■設定後の検証で社内PCおよびインターネット回線経由からWEBサーバに設置したサイトへのアクセスが確認できました。
SSHでアクセスするための設定
上記の設定でホームページの閲覧や更新はできますが、WEBサーバのメンテナンスを行うことができません。
WEBサーバのOSがLinuxなどの場合、sshでサーバにアクセスする必要があります。下記設定はsshでメンテナンスを行う場合の設定になります。
■ルータ追加設定
|
1 2 3 4 |
ip lan3 secure filter out 3000 dynamic 100 101 220 ip pp secure filter in 1020 1030 1031 1032 1041 2000 dynamic 201 202 ip filter 1041 pass * 192.168.20.11 tcpflag=0x0002/0x0017 * 22 ip filter dynamic 220 192.168.10.0/24 * 22 |
上記設定を追加することでsshでWEBサーバに接続することができるようにサーバのメンテナンスが可能になります。
WEBサーバ以外の設定
自社サーバでは提供するサービスはWEB以外にもDNSサービス、メールサービスなど様々なサービスを提供しています。
下記にはDNS、メールサービスを提供する場合の設定を記載します。
■ルータ追加設定
|
1 2 3 4 5 6 7 8 9 10 |
ip pp secure filter in 1020 1030 1031 1032 1033 1034 1035 1036 1041 2000 dynamic 201 202 ip filter 1033 pass * 192.168.20.11 * smtp ip filter 1034 pass * 192.168.20.11 * pop3 ip filter 1035 pass * 192.168.20.11 * submission ip filter 1036 pass * 192.168.20.11 * domain nat descriptor masquerade static 1 3 192.168.20.11 tcp smtp nat descriptor masquerade static 1 4 192.168.20.11 tcp pop3 nat descriptor masquerade static 1 5 192.168.20.11 tcp submission nat descriptor masquerade static 1 6 192.168.20.11 tcp domain nat descriptor masquerade static 1 7 192.168.20.11 udp domain |
自社サーバかホスティングか
自社サーバを構築するメリットはサーバを自由に使うことができます。
サーバの選定からメールアドレスの管理まで自社で行うことができますが、サーバを管理する人員の確保・時間・労力がかかってしまうのがデメリットになります。
また、専門的な技術がないとセキュリティ面で様々な問題が起こったときに対応ができず多大な影響がでます。
ホスティング業者に依頼することで専門的な技術をもった担当者が管理・運用を行うので安心して本来の業務を行うことができます。
自社が提供するサービスを見極め安心して運用できる方法をしっかり検討することも大切です。
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet02.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
![群馬の法人ITサポートサービス Wide Net[ワイドネット]](https://www.nedia.ne.jp/wp-content/themes/nedia/images/bnr_bt_widenet03.png "群馬の法人ITサポートサービス Wide Net[ワイドネット]")
