サーバ構築明日のために 0-50 | サーバの話題

2010年02月09日

1 ：名無しのジョー：2000/12/08(金) 00:39

会社にmail,wwwサーバをたてる事になり、構築の計画・実施から運用管理の全てを任されて
しまいました（面子5人程度で全員構築経験なし・・・）。とりあえず今時のPCを2台買って
Linux（ただ今勉強中）を入れて、

Internet–[ﾙｰﾀ]—-[PC 1]—- 社内LAN
|
[PC 2]

って構成にしようと考えているんですが（PC 1でファイアウォール）、上記の場合
DNS、MTA、MUA、www
の２台のマシンへの機能割り振り(?)は、負荷、セキュリティの観点から普通どのように振り
分けるのが効果的なのでしょうか？どうかお教え下さいませ。

OCNエコノミーでメールアカウントは100前後、wwwはとりあえずHP公開程度で考えてます。

2 ：1：2000/12/08(金) 00:42

う・・・、図がずれた。
[PC 2]は[PC 1]の枝にするつもりです。

3 ：anonymous@itbs019n061.ppp.infoweb.ne.jp：2000/12/08(金) 00:43

Linuxで今時のPCなら1台で十分。
セキュリティを考えるなら、DMZを作ってそこにWebサーバを置く。

4 ：1：2000/12/08(金) 01:15

<a href=”../test/read.cgi?bbs=network&key=976203593&st=3&to=3&nofirst=true
どうもです。DMZという事は、PC1から伸びた、枝のネットワーク上のにWebのマシンを置くと
いう事ですね？それとも、

[ﾙｰﾀ]——-[PC 1]–[社内LAN]
　　　　|
　　　[PC 2]

みたいにしろという事でしょか？

構築本を２、３冊読んでみたのですが、どうもこの辺りの基本構成に関する事情が分か
らずに困っています。（上記の構成の場合や、PC1にNIC３枚指す場合の長所短所とか・・・）

#単に本の選び方が悪い

5 ：えっと：2000/12/08(金) 01:18

１さんではないのですが、今度、DMZなしで外部公開のWeb/Mail/DNS
を立てるのですが、大丈夫なのかなー。

6 ：3：2000/12/08(金) 01:47

>4
成り行きで管理者になっちゃった場合、
ルータの代わりにDMZポート付きのファイアウォールを買った方が
絶対にいいと思う。

>5
設定をしっかりすれば普通は問題ないと思う。

7 ：anonymous@N56cc-02p101.ppp.odn.ad.jp：2000/12/08(金) 03:26

>PC1にNIC３枚 ？？
なんじゃそりゃん。。

インターネット
↓
ルータ ——インターネットセグメント——–
↓
WEBサーバ・DNS
↓
PROXY・MAILGATE（ファイアーウォール）　—-以下イントラ—–
↓
メールサーバ（含むPOP)

３台は欲しいな。。

んでもってWEBサーバは
内部のイントラマシンからNETBEUIで同期させるってのが
定番じゃないでしょーか

8 ：5：2000/12/08(金) 10:31

>3さん
ありがとうございました。

ところで…

[インターネット]
|
[ルータA]—-[ファイアウォールA」-----------------外側セグメント
| | |
| DNS/MAIL Web
| LAN側
*--------------------

ファイアウォールAを新規に導入する際、ルータAには新規に
LAN側のデフォルトゲートウェイを新規FireWallとして
設定する必要がありますよね?

9 ：anonymous@proxy.htmnet.ne.jp：2000/12/08(金) 12:51

おれも６さんに賛成。サーバもアプライアンスでいいんじゃない。
以前、SONICWALLってやつをためしたけど、結構十分な機能があった。
ネットワーク構築が趣味なら試行錯誤もかまわんが、
片手間で素人で業務使用だったら、
多少融通きかなくても構築保守ともに手間がかからない方法をとるのが懸命だ。

10 ：Five：2000/12/08(金) 18:41

<a href="../test/read.cgi?bbs=network&key=976203593&st=9&to=9&nofirst=true
完全に同意。

特にセキュリティ関連はなるべく外部の製品・サービスを利用するよう考慮する
べきでしょう。

セキュリティホールは日々増えていきますが、それに管理者のほうでも日々対応
していくのは大変だと思います。さらにセキュリティホールを衝かれて業務に
支障がでたら大変ですよね（下手をすれば減給、首）。

保険料と思って導入した方がよいと思います。

PR

• 1WebデザイナーのためのフリーDB(データベース)構築法 Neuve Project
• 2新インターネットサーバ構築術―UNIXによるインターネットサーバの導入から運用まで 石橋 勇人
• 3UNIX Network サーバ運用のためのシステム管理 梅田 峰子
• 4図解入門 よくわかる最新サーバサイドJavaの基本と仕組み―Web技術イノベーションの最前線 (How‐nual Visual Guide Book) デュオシステムズ
• 5Linuxインターネットサーバ構築ガイド・タダで立てる独自サイト (アスキームック―Linux magazine mook)
• 6Microsoft Visual BasicによるSQL Serverアプリケーション開発 (Microsoft programming series) Kenneth L. Spencer
• 7RedHat Linux8で作る自宅サーバー for Linux 鈴木 哲哉
• 8Server+〈Vol.2〉テキスト (CompTIA学習書シリーズ) TAC IT講座
• 9Linuxネットワークサーバ構築ガイド (2004) (アスキームック―Linux magazineムック)
• 10イラスト・図解 サーバのしくみがわかる本―インターネットの舞台裏がよくわかる、サーバ入門 斉藤 孝

11 ：1：2000/12/08(金) 22:53

当初、Webやmail等は外部委託、またはレンタルサーバで良いのではないかと考えて提案
した事はあったんですが却下され、紆余曲折（上司の意地の張り合いに巻き込まれたとも
言う）の末

1.自社で構築運用
2.Linux

の２つが最早動かせない前提となり、今に至っています。私自身こうなったら機会を利用
してネットワークのノウハウを身につけてやろうかなと思っています。まあ嫌いじゃないんで。

セキュリティをつつかれて業務に支障が出た場合の責任は上司がとってくれる事になってい
ます。（以前話題になった）

ちなみに会社は弱小ですけど業務系専門アプリ屋です。誰もネットワークに精通していないの
が情けないんですけどね・・・。

12 ：名無しさん＠アキバ迄徒歩30分：2000/12/08(金) 22:59

<a href="../test/read.cgi?bbs=network&key=976203593&st=9&to=10

完全に同意

もし。上司を説得するねたがないのであればBUGTRAQ にでてくる
セキュリティ脆弱性のねたを毎週報告するという嫌がらせを実施
することをお勧めします。

笑い事じゃない。

13 ：1：2000/12/08(金) 23:34

皆さんご忠告ありがとうございます。でも、とりあえずやるしかない
状況なので、色々調べています。

現在一応決定しているのは、

Linux・・・redhat6.2J
DNS ・・・BIND
Web ・・・Apache
MTA ・・・qmail

と言うところです。sendmailはやめとけと聞いたのでqmailにしたんです
が、他はどうなんでしょうか？（定番を選んだつもりですけど・・・）

あと、セキュリティにはipchainsとかsoketとかTISFWTKとか色々あるみ
たいですけど何がいいんでしょうか？全部使えとか？

14 ：3：2000/12/08(金) 23:41

どーしてもやらなきゃならないなら、まずはルータの設定を
しっかり勉強した方がいいと思う。

あと、サーバの方は
qpopperとか入れる必要あるよね。

15 ：Five：2000/12/09(土) 00:03

<a href="../test/read.cgi?bbs=network&key=976203593&st=13&to=13&nofirst=true
> 他はどうなんでしょうか？

これでいいでしょうね。何を選択してもバグ情報との追いかけっこになるだけ
ですから、むしろバグ情報が入手しやすい実装を選択するべきでしょう。

BIND は当然最新版 (8.2.2-P7)、Apache も 1.3.14 にしておきましょう。
Apache は余計なモジュールは一切入れないように。./configure --help で
何を削ることが出来るか考えましょう。

あとは、<a href="../test/read.cgi?bbs=network&key=976203593&st=14&to=14&nofirst=true で述べられているように、ルータの設定を重点的にやりましょう。
ルータをいかに適切に設定するかで、その後のセキュリティ確保のためにかかる
コストがまったく違ってきます。
・必要なトラフィック以外は全て捨てるデフォルト拒否ポリシー
　（ping のパケット (ICMP Echo*) も捨てる）
・余計な機能は全て停止
　（Web による設定機能、Telnet による設定機能、SNMP による管理機能）
　　※きちんと理解してセキュリティを確保しつつ利用できるだけのスキルが
　　　ついてから、これらの機能は使うべきです。
　# Source Routing 等も同様。よく分からない機能は、すべて Off にするべし。
　　それで支障がでたら、はじめて有効にしましょう。

あと情報収集を怠らないようにしましょう。IPA の以下のサイトと Firewall Defenders を
定期的かつ頻繁に見ておけばたいていの情報は入手できると思います。
　- IPA セキュリティページ
　　　http://www.ipa.go.jp/security/
　- Firewall Defenders
　　　http://www.firewall.gr.jp/

では健闘を祈ります。

16 ：名無しさん＠アキバ迄徒歩30分：2000/12/09(土) 00:18

<a href="../test/read.cgi?bbs=network&key=976203593&st=9&to=9&nofirst=true

＞あとは、<a href="../test/read.cgi?bbs=network&key=976203593&st=14&to=14&nofirst=true で述べられているように、ルータの設定を重点的にやりましょう。
＞ルータをいかに適切に設定するかで、その後のセキュリティ確保のためにかかる
＞コストがまったく違ってきます。

「業務上最低限必要なトラフィック以外は通さない」という原則を
いかに全社的意識として教育するか・出来るかというのでそのあと
にかかるコストが違ってくると思います。
そういう認識を経営層まで認識させることが出来てセキュリティ
ポリシーとして明文化できれば、あとはそれを憲法として運用すれ
ばいいだけなので、政治的努力を払うことも必要なのかな、と思う
今日この頃。

がんばってください。

17 ：名無しさん＠アキバ迄徒歩30分：2000/12/09(土) 00:28

<a href="../test/read.cgi?bbs=network&key=976203593&st=9&to=9&nofirst=true じゃない <a href="../test/read.cgi?bbs=network&key=976203593&st=15&to=15&nofirst=true だ　Five さんスマソ
鬱だし脳

18 ：OCNエコ愛用者：2000/12/09(土) 08:34

<a href="../test/read.cgi?bbs=network&key=976203593&st=1&to=1&nofirst=true
OCNエコノミーで運用するつもりなら、クラスレス逆引きの概念とかOCN
でのそれの実装方法とかも勉強しておきましょう。
巷にあるBINDのサンプル(大抵クラスCで解説)通りにやると痛い目にあいます。

MTAにqmailならPOPはqmapopとかもお勧め。apopやPOP before smtp対応だし
POP専用アカウントも自在に作れる。

ついでにBINDもやめてdjbdnsにしてしまうのもアリ。実装が小さければそれだけ
バグの確率が減るというもの。

19 ：1：2000/12/09(土) 21:11

<a href="../test/read.cgi?bbs=network&key=976203593&st=14&to=14&nofirst=true <a href="../test/read.cgi?bbs=network&key=976203593&st=15&to=15&nofirst=true
> あとは、<a href="../test/read.cgi?bbs=network&key=976203593&st=14&to=14&nofirst=true で述べられているように、ルータの設定を重点的にやりましょう。

なるほど「クサいものは元から絶て」と言う事ですね。全体の見通しも良くなりそうですし。
早速勉強していこうと思います。

ルータはヤマハの安いヤツ(２年前に購入したらしいがまだ良く見ていない）が１つあるん
ですけど、もしNATやIPマスカレード等の機能がなければ新しいのを買う必要があるんでしょう
か？今の自分の認識は、

[ﾙｰﾀ]——[PC1]——[社内LAN]
　　　　　　　｜
　　　　　　[PC2]

とある場合、[PC1]でIPマスカレードをかけてやれば、[ﾙｰﾀ]から[PC1]まではグローバルIP
で良い・・というかルータでIPを変換する意味があまりないのではないか？と言う認識なん
ですが（もちろ

20 ：1：2000/12/09(土) 21:14

途中で切れてしまった・・・。最後の部分を再掲します。

とある場合、[PC1]でIPマスカレードをかけてやれば、[ﾙｰﾀ]から[PC1]まではグローバルIP
で良い・・というかルータでIPを変換する意味があまりないのではないか？と言う認識なん
ですが（もちろんルータでパケットフィルタは行うとして）、間違っていたらご指摘下さい。

PR

• 1Linuxネットワークサーバ構築ガイド―ホームサーバからインターネットサーバまでを完全解説 (アスキームック―Linux magazine mook)
• 2WEBデータベース構築ガイド―Visual InterDevとSQL Server 7.0で作る 阿部 一義
• 3Red Hat Linuxで作るネットワークサーバ構築ガイド―改訂版6.2対応 秀和システム出版編集部
• 4Mac OS X Server設定ガイド Version 10.3対応―SOHOで簡単に使えるファイルサーバとインターネットサーバ GEODESIC
• 5Open design (No.34)
• 6はじめてのFedora Core2 Linuxサーバ構築編 (TECHNICAL MASTER) アイティーブースト
• 7MacOS X インターネットサーバ実践活用ガイド―v10.2対応 大浦 淳
• 8新米管理者のためのサーバが重くて困ったとき読む本 石川 英一
• 9自宅サーバお手軽パワーアップガイド―Windowsで便利なツールつまみ食い neuve project
• 103層クライアント サーバ・システム構築技法 Albert Li

21 ：1：2000/12/09(土) 21:14

<a href=”../test/read.cgi?bbs=network&key=976203593&st=16&to=16&nofirst=true
> そういう認識を経営層まで認識させることが出来てセキュリティ
> ポリシーとして明文化できれば、あとはそれを憲法として運用すれ
> ばいいだけなので、政治的努力を払うことも必要なのかな、と思う
> 今日この頃。

運用の方法やルール（勿論セキュリティも含め）は時間をかけて、ドキュメント化して
いく方針になっています。しかし何しろ構築バージン(?)なため、運用しつつ手探りで
修正して行く様になるのかなとは思っていますが・・・。

少し話はずれますが、サーバ構築、運用手順書ってコマンドレベルで書くものなのでしょうか？
今、構築チーム内で意見が分かれているところです。ちなみに自分は「あえてコマンドレベルでは
書かない方が良い」派なんですが・・・。

#ここで言う「コマンドレベル」は「誰もが知っているはず」のUNIXコマンド（ls,vi,tar等）の事です。

22 ：1：2000/12/09(土) 21:15

<a href=”../test/read.cgi?bbs=network&key=976203593&st=17&to=17&nofirst=true
> OCNエコノミーで運用するつもりなら、クラスレス逆引きの概念とかOCN
> でのそれの実装方法とかも勉強しておきましょう。

自分が購入した構築本に、ＯＣＮエコノミー使用時の実例が載っていてDNSの設定例もある
ので、それを参照してみようと思います。

実はまだISPは選定中（OCNエコノミーは有力候補ですが）で、最近話題のADSLやCATV等の
検討も行っています。実際に使用している方々のアドバイスなんか頂けるとありがたいです。

23 ：Five：2000/12/10(日) 06:57

<a href=”../test/read.cgi?bbs=network&key=976203593&st=21&to=21&nofirst=true
> コマンドレベルで書くものなのでしょうか？
http://mentai.2ch.net/test/read.cgi?bbs=network&ampkey=974554775&ampls=50
の 52 以降にそれに関する書き込みがあります。結論だけ言えば、意図と
手段の両方を記録しておく必要がある、となります。実際の書き方や理由に
ついては上記スレッドをご覧ください。

<a href=”../test/read.cgi?bbs=network&key=976203593&st=22&to=22&nofirst=true
> 実際に使用している方々のアドバイス
ISP はいつ廃業したり方針転換（最近 CATV 大手の Jcom がやったみたいに）
するか分かりません。だから、ISP のアドレス構成や機能に依存しないような
設定・機能の定義・実装をこころがける必要があります。
各論についてはここで聞いてもらえるとよいでしょう。

24 ：Five：2000/12/10(日) 07:14

<a href=”../test/read.cgi?bbs=network&key=976203593&st=19&to=19&nofirst=true
> もしNATやIPマスカレード等の機能がなければ新しいのを買う必要がある

YAMAHA であれば初代 RT100i から当該機能が備わっているのでその心配は
ありませんが、仮になかったとしても買い替えが必要かどうか、間に PC を
おいてそこで NAT/IP Masq. をするかどうかは、直ちに決まるものでは
ありません。

NAT/IP Masq. は IP 資源（アドレスおよびポート番号）を消費します。
仮にクライアントが 10 万台あるような環境があったとしたら、NAT/IP Masq. は
現実的な解決策ではないでしょう。そういうところでは、Proxy Server を設置し
そこ経由で外部へのアクセスを許すのが基本になるはずです。

そしてクライアントの台数が 10 台であっても、「ポリシーとして」上記のような
Proxy 経由でのアクセスのみ許可という風にすることは可能ですし、それもまた
現実的な解です。実際にそのようにしているところは少なくありません。

こうする理由としては、
・セキュリティ上の理由:
　不明なトラフィックの通過を拒否する。事前に管理者によって認識され、
　外部との通信を必要とするトラフィック以外は外部へ出さない。
　NAT/IP Masq. の場合、無差別にパケットのアドレス情報を変換するので、
　意図しないトラフィックが発生し、ネットワーク資源を浪費させたり、
　セキュリティ上の問題を引き起こしたりする可能性がある。
・アカウンティング（記録）上の理由
　誰がどのようなサイトにアクセスしているかとか、その頻度はどのくらいで
　どれだけのデータをやり取りしているかを記録し、将来の計画や予想のために
　役立てる。
といったものがあります。

25 ：Five：2000/12/10(日) 07:15

自分も、小さいところならともかく、ある程度の規模になって、セキュリティや
コストパフォーマンス、状況の把握と制御といった管理的側面にも重きをおく
必要があるような事例では、NAT/IP Masq. については理由を説明して推奨しない
という風に説明するようにしています。

あと、1 で述べられていたような「PC1 でファイアーウォール」という発想は
あまり正確ではないです。外部ルータと PC1/2 でどうやってセキュリティ
ポリシーを満足させるような構成と設定を実現するか、という風にテーマを
変えて考えてみてください。ファイアーウォールというのは、上記検討の
結果として機能が定義され実装された外部ルータ・PC1/2 の集合体という
ように理解してください。
# Firewall というのは、マシンでもソフトでもありません。一連のシステム
　です。マシンとソフトがそれぞれ一つというときもあるし、複数のマシンと
　複数のソフトが複雑に連携する場合もあります。いずれであっても、
　・セキュリティポリシーを実装したものである
　・ハード・ソフト・設定からなるシステムである
　という条件を満たす限り、それは Firewall です。

26 ：1：2000/12/10(日) 18:49

<a href=”../test/read.cgi?bbs=network&key=976203593&st=24&to=24&nofirst=true
様々な貴重なコメント、大変参考になります。

> NAT/IP Masq. の場合、無差別にパケットのアドレス情報を変換するので、
> 意図しないトラフィックが発生し、ネットワーク資源を浪費させたり、
> セキュリティ上の問題を引き起こしたりする可能性がある。

この部分がよく理解出来なかったのですが、これは「外→内（社内LAN）」のトラフィック
にトラブルが起こり得るという事でしょうか？（<a href=”../test/read.cgi?bbs=network&key=976203593&st=19&to=19&nofirst=true の[PC1]でIP Masq.の場合）
具体例がどうしても思い浮かばなかったので良ければご教授下さい。

確かに[PC1]にproxyを入れておけば、おっしゃっる様に内から外への使用状況が掴めて何か
と使えそうだと思いました。

今回のサーバ構築管理の仕事は、どうしても本業との両立にならざるを得ないので、管理しやすさ
（シンプルさ）とセキュリティの最大公約数的な構成を模索しています。（かつ自社構築管理
でLinux限定・・・すげえ我侭な要求ですが(笑 ）早速proxy(squid)←→ipchains のトレード
オフ(?)を検討してみようと思います。

#今日「Linux版クラッカー迎撃完全ガイド /ｲﾝﾌﾟﾚｽ」なる本を買ってきて読み始めたところです。

27 ：OCNエコ愛用者：2000/12/10(日) 20:16

ほんとにNATを通したいパケットとそうでないパケットの区別が各々の
アプリケーションの仕組みを熟知してないと大変というという意味も
あると思う。
その点アプリケーションゲートウェイ方式の方がやっぱりお手軽なのは
間違いないと思う。ログもばしっと残るしね。
で、通常の業務と並列でやるんなら、TISのFWTKあたりでさくっと構築
した方が楽じゃないかなぁ、とさっきインストールして思った。
ネットゲーやりたくてSOCKS5も入れたのは秘密。

28 ：1：2000/12/10(日) 23:49

<a href=”../test/read.cgi?bbs=network&key=976203593&st=27&to=27&nofirst=true
> その点アプリケーションゲートウェイ方式の方がやっぱりお手軽なのは
> 間違いないと思う。

これは意外でした。Five氏が<a href=”../test/read.cgi?bbs=network&key=976203593&st=15&to=15&nofirst=trueで紹介してくださったFirewall Defendersにも
そのような趣旨のドキュメントがありました。

安直に考えて下位のレイヤーを制御する方が、インターフェイスは無骨ながらも理屈
は単純なんだろうななんて思っていたもので・・・。やはり実際にインストールして
いじり倒すのが速いんでしょうね。

29 ：便乗です：2000/12/14(木) 12:52

[ﾙｰﾀ]——[PC1]——[社内LAN]
　　　　　　　｜
　　　　　　[PC2]

この場合、ルータに、外部からくる社内LAN向けのパケットを全て
ファイアウォールである「PC1」に向ける必要がありますよね？
スタティックルートを設定する必要があるのでしょうか？

30 ：Five：2000/12/14(木) 14:43

社外から来る社内向けのパケットを通過させる理由はあまりないと思いますが・・。
普通は PC1/2 が Proxy だの何だのになっていて、それ以上の通過を拒絶するの
ではないかと思います。

仮に通過させる必要があるのなら、ルータ上で PC1 を NextHop とする静的経路を
定義する必要があります。

PR

• 1Windows Server World (ウィンドウズ・サーバ・ワールド) 2006年 9月号
• 2RedHat Linux7.3で始める最強の自宅ネット 鈴木 哲哉
• 3Microsoft SQL Server 7.0データウェアハウス入門 (SQL Server selection) Quipu LLC
• 4攻略サーバサイドJavaプログラミング たなか ひろゆき
• 5SQLServer7.0デベロッパーズガイド (SQL Server LIBRARY) Michael Otey
• 6BSDでセキュアサーバーを作ろう (アスキームック)
• 7C/Sシステム構築の真髄がわかる Visual Basic+Oracle―システム構築実装ガイド 初音 玲
• 8PCサーバ化計画Red Hat Linux 5.2 清水 正人
• 9Microsoft SQL Serverトレーニングキット クイック
• 10SQL Serverマガジン日本版 (Vol.11(2003)) 『SQL Serverマガジン日本版』編集部

31 ：Five：2000/12/14(木) 14:45

<a href=”../test/read.cgi?bbs=network&key=976203593&st=26&to=26&nofirst=true
ICQ だの IRC だの PointCast だの、管理者が想定していないトラフィックの通過を
拒絶するためです。<a href=”../test/read.cgi?bbs=network&key=976203593&st=27&to=27&nofirst=true さんの回答がまさに的確です。

トラブル起きたときの原因特定・解決の困難さを比較すれば、明らかに
　容易: Proxy (Squid) <<<< NAT : 困難
になるでしょう。

32 ：新卒学生：2001/01/03(水) 06:16

内定決まった会社がＡＳＰしてるんだけど、
全く私は初心者です。
営業に回されるんかな？
一応ＳＥ採用なんだけど。
何を心がけると良いですか？

33 ：あのにます：2001/01/28(日) 09:26

あげー！

34 ：あげまｎ：2001/02/10(土) 08:13

あげとけ

35 ：名無しさんです：2001/02/15(木) 17:58

すいません。上司が「日経なんとか」という雑誌で読んだということで
ファイルサーバー1台だけをファイアウォールの内側に設置して、
クライアントを全部DMZ(?)に置けっていう命令が出てます。
意味不明です。このファイルサーバー上にドキュメントを置いて
運用しなければならないんですが、運用例とか参考になるページとか
ヒントになる情報とか何でもいいですから紹介していただければ幸いです。

36 ：Be名無しさん：2001/02/15(木) 18:23

<a href=”../test/read.cgi?bbs=network&key=976203593&st=35&to=35&nofirst=true
ネタ？（ﾜﾗ

37 ：あががぁ：2001/02/15(木) 18:29

日経見たならこれを見よ。
http://www.gcd.org/sengoku/theme.ja.html

38 ：名無しさんのしゅちょう：2001/02/15(木) 19:03

<a href=”../test/read.cgi?bbs=network&key=976203593&st=36&to=36&nofirst=true
マジです。
クライアントはグローバルIPです。
外部よりも内部からの攻撃を防ぐのだという
謎の説明を受けています。
<a href=”../test/read.cgi?bbs=network&key=976203593&st=37&to=37&nofirst=true
これ見せてみます．．．

39 ：名無しさんです：2001/02/15(木) 19:19

<a href=”../test/read.cgi?bbs=network&key=976203593&st=37&to=37&nofirst=true
そののページを見せたところ、
「そんなの知ってる、でもそれじゃあLANの
内側からの不正アクセスを防げないだろ」
と言われました。めまいがします。
繰り返しますが、クライアントはグローバルIPもってて
サーバだけローカルアドレス振るそうです。

40 ：あががぁ：2001/02/15(木) 19:19

>38
>外部よりも内部からの攻撃を防ぐのだという

それは凡人には無理じゃ、業者に頼め。

PR

• 1NETWORKWORLD (ネットワーク ワールド) 2008年 1月号 [雑誌]
• 2WebminによるLinux Server構築 高橋 和秀
• 3SQL Serverマガジン日本版 (Vol.14(2004)) 『SQL Serverマガジン日本版』編集部
• 41日で構築するVine Linux2.6インターネットサーバ (イントラネットシリーズ) 市川 順一
• 5EUC/CSSを成功させるには―新パラダイム時代での情報システム運営 木暮 仁
• 6Open design (No.22)
• 7フリーソフトとDynamicDNSで作るホームサーバ WindowsXP編 (クラフト&アートワークシリーズ) 岡崎 俊彦
• 8標準JAVA&XMLサーバサイドプログラミング―ファイル操作からWebサービスシステム構築の基礎まで 横井 与次郎
• 9Windows Server World (ウィンドウズ・サーバ・ワールド) 2004年 12月号
• 10SQL Server 6.5 セルフラ-ニング

41 ：あががぁ：2001/02/15(木) 19:28

よくよく考えると、その上司の言ってる事は変だよ。
まず、その上司を消せ！　

42 ：電動ナナシ：2001/02/15(木) 21:57

上司は社内 Firewall のことを言っているつもりなのだろうか？
サーバーのみのセグメント作って、そこの出入り口になる部分に Firewall おけば
上司も安心するんじゃないの？

43 ：名無しさん：2001/02/16(金) 00:26

なるほどー大変だな〜
認証とアクセス権ですむのにわざわざF/Wかぁ

44 ：ななしだよ：2001/02/16(金) 01:15

<a href=”../test/read.cgi?bbs=network&key=976203593&st=43&to=43&nofirst=true
それだけじゃダメだ。セ○ムに頼んで２４時間監視の指紋認証じゃないと入れない
サーバ部屋をつくるのだ！

45 ：名無しさんです：2001/02/16(金) 20:31

<a href=”../test/read.cgi?bbs=network&key=976203593&st=42&to=42&nofirst=true
違います。「ヒドンサーバー」などと呼んでいます。
上司は国立出で他の分野では学位もあるのに（涙）。
殿の乱心ってこういうことじゃないのって感じ。

46 ：anonymous@f-chiba-190150.zero.ad.jp：2001/02/17(土) 23:52

会社とかの組織で、クライアントＰＣ全てにグローバルアドレスって、
今では反社会的な行為ということになってます。

ずっと昔からインターネット利用しててクラスＢを割り当てられていた会社が、
グローバルアドレスで運用していた社内ＬＡＮをプライベートアドレスに移行
ってもを結構やってたりしたはずです。
ＩＰアドレス枯渇問題への対応のためにＪＰＮＩＣへのＩＰアドレス返還って
ことを、他の会社は一生懸命コストをかけてやってきたわけです。

あなたの会社がそれなりの規模があるなら、全クライアントＰＣをグローバル
アドレスで運用するなんて、絶対不可能だと思いますよ。

47 ：あのに：2001/02/18(日) 00:28

クライアントPCにグローバルアドレスを振ったら反社会的ってすごいな。（笑）

ちなみに、うちの会社は一部上場でここの板のひとならほとんどの人
が知っていると思うけど、全マシングローバルアドレスだけど。 　　　　　　　　　　　　

48 ：名無しさん：2001/02/18(日) 00:37

<a href=”../test/read.cgi?bbs=network&key=976203593&st=46&to=46&nofirst=true
HPとかIBMとかクラスA持ってるとこはどうなんだ？
全部グローバルでも出来そうな気が

話がずれてるんで sage つつ

49 ：jpnic：2001/02/18(日) 00:57

<a href=”../test/read.cgi?bbs=network&key=976203593&st=46&to=46&nofirst=trueってめちゃくちゃあたまわるそう。

すべてのマシンに必要な分のグローバルＩＰアドレスは必ずもらえます。
もらえないと思い込んでいたり、申請ができない頭悪い人が多いのは事実ですが、
実際にはちゃんと申請すればもらえるし、そうすべきです。

問題なのは、<a href=”../test/read.cgi?bbs=network&key=976203593&st=46&to=46&nofirst=trueのように、正当な行為を反社会的というような人。
Internetの健全な発展のために、そういう人には消えてもらいたい。

50 ：anonymous@：2001/02/18(日) 08:45

> すべてのマシンに必要な分のグローバルＩＰアドレスは必ずもらえます。
ウソ書いてはイカン
最近はIPv4アドレスはISPにたくさん金払って、HSDでたくさんNTTに金払った所にしか必要なだけくれません。
IPアドレスはJPNIC会員の「利権」だからね（ワラ

まぁ、オレ的にはさっさとIPv4枯渇してIPv6になればいいって思ってるからど〜でもいいけど

PR

• 1クライアント/サーバ・システムのテスト技法 赤羽 豊和
• 2C/Sデータベース設計入門―情報システムの新しい分析・設計法 (C/Sパワーシステムシリーズ) Daniel Pascot
• 3Windows Server World (ウィンドウズ・サーバ・ワールド) 2005年 4月号
• 4あっという間にiMacでLinuxサーバを作る本 オブスキュアインク
• 5実例で覚えるLinuxコマンドラインネットワーク編―システム管理のテクニック 長谷川 光
• 6Webサーバによる3層クライアント/サーバ・システム開発技法 三喜 英行
• 7サーバ・ユーザ・マガジン Vol.4―ドメイン取得とレンタルサーバ総合誌 (エーアイムック) 紫藤 政義
• 8Mac OS X Server簡単セットアップガイドVersion10.2対応―ファイルサーバとインターネットサーバを自力で作る! GEO DESIC
• 9Omnis 7―C/Sアプリケーション開発の実際 (Computer Today ライブラリー) 白石 亘
• 10企業で導入する格安ADSL Biz ADSL8とLinuxでつくるインターネットサーバ (イントラネットシリ-ズ) 市川 順一

• 規制＠全サーバ No.9 0-50
• 規制＠全サーバ No.8 51-100
• 規制＠全サーバ No.8 0-50
• 規制＠全サーバ No.7 0-50
• 規制＠全サーバ No.10 0-50

まだトラックバック、コメントがありません。