こんちゃ(´・ω・)ノ
今回はどのようなネットワークでやろうかという、構成案です。
思い立ったら追加するかも。
ネットワーク構成案
◆案1
[インターネット]──[有線ルータ]───┬────[無線ルータ]
│ │ │
[Webサーバ] [サーバ群] [クライアントPC]
[DNSサーバ?]
【条件】
有線ルータが、通常のDMZ機能がある。
【ルータ(FW)設定】
・有線ルータ
インターネット→Webサーバ:許可(ポート指定:80,443,53)
Webサーバ→インターネット:許可(ポート指定:80,443,53,123など)
Webサーバ→サーバ群:許可(ポート指定:各サービスのポート?)
サーバ群→Webサーバ:許可
インターネット→サーバ群:全て拒否
サーバ群→インターネット:許可
・無線ルータ
サーバ群→クライアントPC:全て拒否
クライアントPC→サーバ群:許可
※基本的にWebサーバ経由でサーバ群にアクセスさせるようにする。
Apacheの連携モジュールなどを活用する。
◆おまけ
【ブロードバンドルータのDMZ機能について】
ブロードバンドルータのFWは通常、以下のように設定されています。
インターネット側→内部:全て拒否
インターネット側←内部:許可(戻りパケットも許可)サーバを公開させるためには、
「インターネット側→内部」を一部許可しなければならない。
その際に利用できる機能として、ブロードバンドルータのDMZ機能があります。
ブロードバンドルータのDMZ機能は、普通のDMZ機能と違い、
インターネット側からの通信を全てDMZ機能で指定したPCに転送します。
もし、DMZに公開したいサーバを配置した場合、
インターネット側からは制限なしでアクセスされるため、攻撃され放題です。
通常のDMZとはまた似て非なるものなんですね。
[0回]
PR
COMMENT