■ 構築問題 第十一問
おね〜さんと、
ほげたんのっ!!
3 Minutes Networking、
Step by Step !!
ファイアウォール入れて、IPアドレス設定して、NATまで設定しちゃったわけね。
ファイアウォールはフィルタリング+NATだね。
そう、NATの場所ってのを忘れないようにね。
ルータでなくて、ファイアウォールが分割線になる、と。
うん。でね、ほげたん。
サーバを外部に公開してるじゃない?
してるね。ファイアウォールのおもいっきり外側にあるし。
うんうん。おね〜さん、URLでWebサーバにアクセスしたいな〜。
URLでサーバにアクセスできるようにしなさい
[FigureSS11-01:第十一問]
- WebサーバをURLを使ってアクセスできるようにしなさい
- 現在のネットワーク構成は第十回の問題と同じとする
- 内部Webサーバは内部からのアクセスに対し、URLでアクセスできるようにする
- ドメイン名として3min.jpをJPRSに登録済み
- プロバイダのネームサーバ(name.prov.ne.jp)をセカンダリとして使用する
- セキュリティも考慮しなさい
え〜、いいじゃん、IPアドレスでアクセスできればさ〜。
(ギロリ)
…はい、申し訳ありません。早速考えさせていただきます。
■ 構築問題 第十一問 解答
URLを使う、つまりドメイン名の名前解決ができなきゃいけないってことだから。
ネームサーバを配置しろってことなんでしょ?
へ〜、で?
外部からの問い合わせに対し応答できなきゃいけないから、ファイアウォールの外側に配置、だね。
あ、そうそう。IPアドレスの下のカッコはホスト名ね。
[FigureSS11-02:ほげたんの解答]
ふむふむ〜。それでそれで?
それでって。おしまい。
はぁ〜。
目の前でため息つかないでよ。ため息をつくと幸せが逃げるよ。
大丈夫、追いかけて捕まえて引き摺り戻すから。
ワイルドだ。
ふっふっふ。飛葉大陸と呼んで。
それは「ワイルド7」。
で、何がいけないの?
もうちょっと設定書いてよ。評価のしようがないでしょ、これじゃ。
ゾーンファイルも書けってこと?
そうそう。そういうこと。
あ、SOAのRDataは省略してもいいわよ。
ん〜。
| Name | Type | RData |
|---|---|---|
| 3min.jp. | SOA | - |
| 3min.jp. | NS | ns.3min.jp. |
| 3min.jp. | NS | name.prov.ne.jp. |
| www | A | 200.100.10.14 |
| ns | A | 200.100.10.13 |
| intra | A | 172.16.0.11 |
[TableSS11-01:ゾーンファイル(案)]
ふ〜ん。
ってことは、ネームサーバ1つで、公開サーバの名前解決と、内部サーバの名前解決をするってこと?
[FigureSS11-03:ほげたんの案での名前解決]
うん。そのつもりだけど?
却下。
え? え? なんで?
セキュリティも考えなさいっていったでしょ。もし「intra.3min.jp」への問い合わせがあった場合どうなるの?
この状態だと、内部サーバのIPアドレスを知られてしまうじゃない。
いいじゃん、ファイアウォールがあるんだし、プライベートIPアドレスだし。
内部Webサーバ(intra.3min.jp)にはアクセスできないよ。
だ〜め。ほげたん、セキュリティの第一歩は「存在を知られない事」よ。
与える情報は少なければ少ないほどいいの。
でも、プライベートだよ? 絶対アクセスされないよ?
内部IPアドレスを知られれば、送信元IPアドレスを内部ホストに偽装できるわ。
私は、そんな危険を冒す気はないの。
ううぅぅぅ。どうすればいいの?
内部のことは内部に任せるの。
内部にネームサーバを立てればいいのよ。
[FigureSS11-04:おね〜さんの解答]
ゾーンファイルは?
まず、外部向けネームサーバ(ns.3min.jp)はこれ。
| Name | Type | RData |
|---|---|---|
| 3min.jp. | SOA | - |
| 3min.jp. | NS | ns.3min.jp. |
| 3min.jp. | NS | name.prov.ne.jp. |
| www | A | 200.100.10.14 |
| ns | A | 200.100.10.13 |
[TableSS11-02:ns.3min.jpのゾーンファイル]
さっきの僕の案の内部ネームサーバを抜いたものだね。
そうね。外部向けはあまりかわらないわね。
で、内部向けネームサーバ(ns2.3min.jp)はコッチ。
| Name | Type | RData |
|---|---|---|
| 3min.jp. | SOA | - |
| 3min.jp. | NS | ns2.3min.jp. |
| www | A | 200.100.10.14 |
| intra | A | 172.16.0.11 |
| ns2 | A | 172.16.0.12 |
[TableSS11-03:ns2.3min.jpのゾーンファイル]
セカンダリはなし?
セカンダリはあってもいいわ。今回は設定してないだけ。
あと、外部WebサーバのIPアドレスは、外部ネームサーバにあるからいいんじゃないの?
内部ネームサーバは、3min.jp内のホストのアドレスを外部ネームサーバに聞きに行くことはないわ。だって自分こそが3min.jpのネームサーバなんだから。
う〜ん、そういわれればそうかも。
それと、内部ネームサーバは自分で反復問い合わせをしてもいいし、フォワーダに外部ネームサーバを指定してもいいわ。やはり一般的なものは、外部ネームサーバをフォワーダにして、キャッシュサーバとして動作する場合が多いわね。
[FigureSS11-05:おね〜さんの案での名前解決]
ふ〜ん。内部のことは内部にまかせる、か。
そういうこと。外部からみれば、外部ネームサーバが3min.jpのネームサーバ。
内部からみれば、内部ネームサーバが3min.jpのネームサーバってことになるわけ。
2つのプライマリネームサーバができる形になるんだね。
そうよ、ほげたん。
それでも問題ないのよ。内部から見ても、外部から見ても使うネームサーバは1つだけ、なんですから。
なるほどね〜。
URLを使ってWebサーバにアクセスできたところで、今回はおしまい。
じゃ、また次回ね。おね〜さんと、
ほげたんのっ!!
3 Minutes Networking、
Step by Step !! でした〜〜〜っ!!
まったね〜〜〜!!