25-4. 回線冗長化装置を再び呼び出す -------------------------------------------------------------------------------- LinkProof はIPアドレス変換のかたまりである。ファイアウォ−ルでもIPアドレス変 換をしている。ファイアウォ−ルでIPアドレス変換したIPアドレスを更に LinkProof でも紐付けるということが行われるわけだ。このことを先ず理解し押えておきたい。 -------------------------------------------------------------------------------- (1) LinkProof の事前検討と購入 * LinkProof の導入に際して 実際に LinkProof をかましたら細かな設定で調整が必要となるだろう。 社内からDMZ のサ−バにアクセス出来ていたのができないとか。外からDMZのサ−バへのアクセスも 同様なことがあったり。ファイアウォ−ルのポリシ−の設定の状態とも関係するかも知れ ない。ネットワ−ク周りのことが分かるエンジニアの手助けがいる。LinkProof のことに ついては詳しくなくても構わない。そうなると、そうしたエンジニアがいるSI会社を使 うしかない訳で選択としては限られてくる。これまで設定したファイアウォ−ルのポリシ −のル−ルとその経緯を今一度確認してみないといけない。その全部を把握するのは難し い。抜けが出てくるのはあると思った方がいい。おかしいとユ−ザからクレ−ムがでた際 にすぐに対応できるようにしないといけない。冷静に対処するには、どうしたってもう一 人できるエンジニアが必要である。作業をしてくれるまでもなくアドバイスをしてくれる だけのエンジニアでも構わない。LinkProof の設置はいろいろ起きそうな気がする。 * LinkProof の購入に関して 購入と設定、SI業者はどこにするか。LinkProof はこれを扱う1次代理店は直販をしな い。どこか業者を通さないといけない。購入に関して通すだけでいいのか。仕様の詰めや 設定についてはどこがやることになるのか。1次代理店はとりあえずM社としよう。マイ クロソフトのMではないよ、マ○○カとかいうMです。業者さんはそれで何をやってくれ るのか。何もやってくれないのなら、どこでもいいわけで。中間マ−ジンが小さいところ を選べばいいということか。そんな単純なことで済むわけないか。LinkProof が分かるエ ンジニアと話をする機会ができた `2f/08/E のこと。名古屋のとあるSI会社にいるとい う。実際に会ってみたら、誰かと思えば SSL-VPN装置の設定をやってくれた人だった。そ の時の様子から技術的なスキルはあると想定できた。こちらもできるだけ準備し、一緒に やっていくということで望めば大丈夫だろうと判断した。自分で設定を詳細に書いたのを 用意し、それをベ−スにSI業者の技術者とやりとりして設定を詰めていくことにする。 * LinkProof の動作確認の事 自社DNSの制御ファイルの記述の変更。へたに変更して動作がおかしくならないように しないと。動作を確認するのをできるだけやりたい。問題が起きるとすればDMZのサ− バである。適当なマシンをDMZにおいて動作確認するのはどうか。 Cobalt Qube3 でい いぞ。他のDMZのサ−バはこれまで通り、LinkProof の対象にはとりあえずしない。そ ういうことで LinkProof を片肺飛行みたいなことで、一瞬でネットワ−クにかます。 そ の前にテスト用回線のCでだけで LinkProof を設置してみるか。 サ−バル−ムからケ− ブルが伸びていて自分の机近くまできてハブを一応かましてある。これで数人はパソコン をつないでテスト利用ができる。 と言うことで手元に新しい LinkProof をおいてこのケ −ブルにつなぐ。それでそのまま通信できれば設定は先ずOKだ。次に FortiGate-80Cも かましてDMZの動作確認をやってみる。余分にIPアドレスは1個位は使えるだろう。 * LinkProof 設置成功の心構え とりあえず購入して、こうやって手元で機能のチェックなどをやって、詳しい設定を詰め てみる。そして1ヶ月後ぐらいにSI業者のエンジニアにきてもらって本番設置に臨むと いう段取りである。ん?、回線は2本ないと冗長化の動作確認はできない。インタ−ネッ ト回線はテストには1本しかないからダメか。ロ−カルネットでの動作確認にするか。か つて LinkProof Branch を入れた時のように。でも疑似DNSサ−バの設置までやれるか。 どっちにせよ本気でまた LinkProof を設置しようとするなら、 自前でのテストはやらな ければならない。LinkProof 設定の細かな検討。LinkProof の設置が先だったかDNSの 設定が先だったか。SI業者さんとの打ち合わせまでに、設定のイメ−ジを書こう。8割 方は実際の設定の記述ができていないと、こうした製品は本番稼働に持っていけない。と もかくこの装置はインタ−ネット技術の固まりである。心して取り組むことである。 * LinkProof 設置の事前検討 MRとMSとのメ−ルのやりとりでMRのIPアドレスはどうなるのか。パブリックIP アドレスでやるのだったか、DMZセグメントそのもののIPアドレスでアクセスするの だったか。改めて確認しておくこと。メ−ルリレ−:MR、メ−ルストア:MS。 社内からDMZ上のWebサ−バにアクセスするのに、パブリックIPアドレスでやるの とDMZセグメントそのもののIPアドレスでアクセスするのもある。プロキシサ−バの 設定と何か関係しているかも知れない。プロキシサ−バの設定も詳しくみること。 取引先のサイトでアクセス制限をかけている所がある。ファイアウォ−ルのNATでの代 表IPアドレスからだけアクセスを許可するようにしている。そんなサイトがうる覚えだ が3件ぐらいあったと思う。LinkProof でこの代表IPアドレスはどうなるのか。 インタ−ネット回線と同じ所にグル−プ会社用のサ−バへのアクセス回線もある。ファイ アウォ−ルのすぐ上にハブを設けている。このハブに3つのインタ−ネット回線用のル− タのケ−ブルを繋げている。グル−プ会社向け回線は LinkProof には繋げない方がいい。 SSL-VPN 装置へのアクセスはIPアドレスだった。それで LinkProof でどうなるの。 あ くまでもDNSに記載したサ−バが対象になるのでないか。外からIPアドレスでサ−バ にはアクセスできないのでないか。いや、そんなことはありません。 上からの続きで回線Aの方の装置のIPアドレス、回線Bの方の装置のIPアドレス。そ れぞれ指定すれば、そのままIPアドレスでアクセスできる。DNSに SSL-VPN装置も記 載すればURL名でAでもBでもアクセスできる。机上の検討ではそうだ。 DMZには FortiSandbox 装置も置かれることになる。これは回線冗長化の対象にしない といけないのか。できればそうした方がいいが、そうシビアに考える事はないだろう。で もDNSの対象にする必要はない、外からアクセスされることはないので。 DMZ上のマシンへのインバウンドはDNSで制御する。Aレコ−ドで、URLで。マシ ンがDNSに記載してなければ対象にできない。副回線のパブリックIPで外からアクセ スできるようにするかどうかということだけである。 DMZ上のマシンからアウトバンドはどうなのか。2つの回線で主がだめなら副を通るよ うにする。これは考えなくてもいいぞ。DMZのマシンは外からアクセスされることを想 定して設置しているのだから。 LinkProof の負荷分散はどうするか。UTMのポリシ−ル−ティングをやらない場合のこ と。2つの回線を Active-Active で使うと言うこと。 これから設定しようとしているの は Active-Standby であるが、一応 Active-Active の設定も押えておきたい。 DNSと LinkProofの設定はして主回線だけつなげて使えるようにする。DNSはWeb とMRのマシンのを LinkProof で対象にするよう調整する。他 SSL-VPN 装置などは副回 線のIPアドレスでもアクセスできるようにする。 LinkProof を設定するソフトは、今はどうなっているか確認すること。ラドウェア製品は Configware Insite という別売りの専用ソフトで設定するようになっている。これは業者 とメ−ルのやりとりで確認した。このソフトは使わずWeb画面で設定するということ。 できた解けたこの手順で行こう。 Webサ−バは www.nix.co.jj が本番のアクセスだが、 eee.nix.co.jj でアクセスして LinkProof の動作確認をする。これは LinkProof Branch の時にもこうして動作確認をした。DNSの既存設定をそのままにできる確認をする。 メ−ルストアの予備を FortiMail で作る。メ−ルリレ−の予備を Sun Solaris 9 で作る。 DNSとWebサ−バは Cobalt Qube3 で仮に作る。ファイアウォ−ルは FortiGate-80C を使う。これらと LinkProof Branch を用いてテストし、いろいろ動作確認をしてみる。 * グレ−トファイアウォ−ルへの対応 LinkProof はURLでアクセスしようとする場合にDNSが使われる。IPアドレスでア クセスするならDNSサ−バは関係ない。 Active-Standby でも副回線の方のIPアドレ スにアクセスできる。 これは SSL-VPN 装置の利用でグレ−トファイアウォ−ルヘの一つ の対策になる。パソコンから SSL-VPN 装置にIPアドレスでアクセスする。 主回線側の IPアドレスに通常はアクセスする。インタ−ネットのサイトは見えるのに、SSL-VPN 装 置には繋がらないとかすぐに切れるとかどうもおかしい。そんな時に副回線のIPアドレ スの方にアクセスしてみる。主回線側のIPアドレスはグレ−トファイアウォ−ルのブラ ックリストに載っていないかも知れない。自前でVPNサ−ビスをやるようなものである。 * 参考 かつてやった設定。10年前にトライし動作検証したことを思い出してみたい。2004 年8月に自身でまとめた "LinkProof Branch の設定方法" というのを読んでみる。 それ にイントラネット構築法の記述の中で、以下のもじっくり読み返してみないと。 4-3. WAN回線の速度アップと冗長化,(4)マルチホ−ム装置の設置 4-7. イントラネット構築最終章,(1)2005年からの基本ネットワ−ク 13-6.DNSの運用と特殊技術,(3)DNS のこんなテクニックその1 21-5.続インタ−ネット接続周りの事,(3)やっぱり最後はDNSをいじる 23-7.メ−ルとDNSサ−バの維持を,(2)DNS設定変更の反映時間の検証 * まとめをやっておかないと LinkProof を設置した後、細かな調整が必要だろうと書いたが、実際のところそれは無か った。というより設置した時点でもう完了にしないとダメということである。確認事項を 箇条書きにしておいて、当日は確実に丁寧に慌てることなく確認していった。無事できた。 回線冗長化装置の導入をして1ヶ月も経たない内にサンドボックス装置を導入した。どち らの装置もディ−プな知識が必要である。サンドボックス装置の方を取り組んで、やれや れと一段落したら、回線冗長化装置の方はてんで忘れてしまった。 20枚ぐらいのA4の手書きのメモや絵があって、それも何だったか半分ぐらいしか思い 出せない。ちゃんとまとめて整理しておかないと、回線を変更してパブリックIPアドレ スが変わったりした場合に自分で設定できないことになってしまう。 * ファイアウォ−ルはNATが要 ファイアウォ−ルはIPアドレス変換の利用が多用される。ここのところの、きちんとし た動作の把握と理解が必要である。 さらにロ−ドバランサや LinkProof なんかが入って くると、いったい何がどうなっているのか分からなくなってくる。LinkProof もIPアド レス変換が利用されている。LinkProof 内でのIPアドレスの対応付けは、ファイアウォ −ルとは関係しない。ファイアウォ−ルはファイアウォ−ルでIPアドレスをマッピング させ、LinkProof は LinkProof でIPアドレスをマッピングさせればいい。 これが設定 の基本である。すごく複雑な構成になるように見えるが、一つずつ設定をやっていけばで きる。先ずはファイアウォ−ルのIPアドレスのマッピングをきちんと把握しないと、や ったのだがすぐに書きとめなかったので、また忘れてしまった。何てこった。 (2) LinkProof の設置設計プラン * 選定した機種の様子 LinkProof 1008。1U、高さ44mm、幅 424mm、奥行 457mm。10/100/1000Copper 6ポ−ト。 Fiber 2ポ−ト。奥行きが結構あって重い、物を箱から出して気付いたというか認識した。 これまで買ったラドウェア製品はどれもコンパクトで奥行きも無かった。 物が届いて箱をあけた。結構奥行きがある。現物をラックの横にもってきてラックに収ま るかどうかみた。大丈夫だ。電源スイッチはフロントパネルにある。ファンが後ろに3つ と1つある。電源は2つあって、2つともつながないとピ−ピ−なるという。 * 検討し始めて3日で設計できた そもそも LinkProof をかます目的は。回線ダウン時のバックアップ。 回線ダウンとは回 線ル−タの故障や回線の局でのトラブルとか。それにプロバイダへの DDoS 攻撃の対応や 自社への DDoS 攻撃の対応。それにグレ−トファイアウォ−ルの対策もやれる。 プランがほぼ出来た。ラドウェアの営業と話していて、シナリオが描けてきた。もうこれ で出来たも一緒だ。強引にやるのでなく安全に。回線冗長化でDMZ上のサ−バのマシン も冗長化するなら、それぞれの回線でマシンにパブリックIPアドレスを振る必要がある。 現状インタ−ネット回線は3つある。有効なIPアドレスがそれぞれ違う。クラスCの半 分、8個、4個である。ネットワ−クアドレスとブロ−ドキャストアドレスは使えないか ら8個のは6個、4個のは2個になる。さらにル−タにIPアドレスが1つ割り振られる。 DMZには8台ぐらいのマシンがある。SSL-VPN 装置の前のものとか緊急時には使えなく てもがまんしてもらうということで、ぎりぎり5台は対応できるかと思う。そうなるとプ ロバイダCの回線(有効IPアドレス8個)を LinkProof の予備回線にするしかない。 プロバイダBの回線はパブリックIPアドレスでDMZに使えるのは1個しかないわけで、 もうそもそも LinkProof は外へのアクセスにしか使えない。Bは光ファイバ回線、 Cは フレッツADSL回線。Bの契約IPアドレスを4個のを8個かもっとに増やすプランとかは。 先ずは複数回線があったら、それらの回線が同じ収容局の装置に入ってないか、回線業者 に言ってどうなのか確認すること。大元の回線業者はNTTか中部地区では中部電力系の CTCか。CTC回線を足周りに利用してKDDIがユ−ザへサ−ビス提供している。 1本の回線で LinkProof をかます。その設定がどうなるかをまずやる。 2本目の回線を 加えた場合の LinkProof の設定がどうなるか。 2本目の回線を変更した場合でIPアド レスが変わった場合の設定がどうなるか。 最終的にはポリシRはやらないことにするか今後も検討をする。ポリシRと LinkProofで は複雑になり過ぎると思う。とりあえずポリシRは問題なく動作しているのでそのままと する。LinkProof 構成の検討はファイアウォ−ルのB回線は無いものとして考えてよい。 できるだけユ−ザに影響を与えないように確実なところで作業する。現状のAとBはポリ シRで振り分けは、このままとする。社内から外へプロキシサ−バ経由はポリシRでBを 通るので、LinkProof 設置作業中でも関係ない。 ファイアウォ−ルのファ−ムウェアはそのまま、アップはやらない。ライセンスもそのま まとする。ファ−ムウェアのアップをすればポリシRで、WAN2がダウンしたら WAN1 に自 動切り替えができるが、動作が複雑になってしまう。本当にきちんと動作するのか。 DMZサ−バ全部のIPアドレスにはCの契約では足らない。DNSサ−バとWebサ− バはまず冗長化に対応させる。社内で要望が今後出てきたら、CのIPアドレスを契約変 更して増やすことを検討する。回線もフレッツADSL から光ファイバにするなど考える。 LinkProof Branch を予備機にする。 10年前の設定と今の設定とで変わったとこは何か。 ちゃちゃっと調べること。 今のでは Dynamic NAT のIPアドレスが共有できるようにな ってIPアドレスを節約できること。ファ−ムという概念が加わったことが大きな違いか。 * 現状の回線で構成する / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\利用回線の利用可能パブリックIPアドレス。 \_____________/ 回線A(128)光、B(4)光、C(8)ADSL。 A: C: B: : : : Aは主回線でこれまでのインタ−ネット回線。 ◇ ◇ : Bは外へのWeb専用、現状はAとBはポリ | | : シRで振り分け。元は同じCTC回線でサ− 仮想IPで ----------- : ビス業者は異なる。Cはこれまでインタ−ネ これら設置 |LinkProof| : ットのテスト用で使ってきたフレッツADSL。 □ □ □ ----------- ◇ | | | | | 回線の組合せはAとB、AとCで LinkProof ----------------------- -------- 制御。ポリシRは導入して1年経ったが特に | | 問題ないのでAとBの組合せはしないでおく。 DNS WWW SSL-VPN |WAN1 |WAN2 ■ ■ ■ ------------------ LinkProof で回線Aを Active、CはStandby。 | | | |ファイアウォ−ル| A回線に DDoS 攻撃時はAのケ−ブルのコネ ------------------| | クタを手作業で抜けば回線Cに切り替わる。 DMZ| FortiGate | Proxy■ ------------------ LinkProof Branchをほぼ同じ設定にしてスタ サ−バ| | ンバイさせる。ケ−ブルを繋ぐポ−ト番号も --------------------------------------- 同じにしてバカチョンで入れ替えるとする。 * いろいろ検討 パケットの振り分けをどのようにしたらいいか。何ができるか。すぐには利用する場面は 出てこないと思うが、必要になった時にやれるようノウハウは獲得しておきたい。 発信元IPアドレスをみる。プロキシサ−バのIPからのパケットを誘導。 HTTP だけど プロキシサ−バは通らない。宛先IPアドレスなり宛先ホスト名でパケットを誘導。 LinkProof でどれだけパケットが流れているか、それが見えるのか。スル−プットのこと。 回線の最大スル−プットをあらかじめ計っておかないといけない。 大量パケット攻撃にも対応したい。そもそもできるはずだが、もう一度確認すること。回 線飽和型の DDoS 攻撃には無理だけど。DDoS 攻撃にはいろいろあるので。 回線ヘルスチェックで対向ル−タへの ping の応答が返ってこない。この状況の一つはそ の回線側に大量のパケットが来ているとみなすことができると思う。 回線ヘルスチェックはそもそもル−タやそれにつながるハブなどの装置が故障しているか して、回線がダウンしている状況のチェックだが。 ヘルスチェックは ping の他にもいろいろ指定できる。どこをチェックするかは、ちょっ と検討がいる。フレッツADSL 回線ではIPアドレスが動的に付くようだ。 特定サイトへの誘導。Office 365 パケットの誘導とか考えられる。 仕事上で必要があっ て YouTube など動画サイトもどんどん見ないといけないとか。 * LinkProof で DDoS 対策は www.nix.co.jj の問い合わせに対して自社DNSの中で、別なドメインとして管理してい る他のDNSを回答する。これが LinkProof 内にあるDNSである。 この中では2つの 回線のパブリックIPアドレスにマッピングした www.nix.co.jj の情報をもつ。 これに より LinkProofでマッピングしたWebサ−バのIPアドレスに外からアクセスをさせる。 LinkProof を簡単に説明すればそういうことだ。 AとBは同じ回線会社の回線だがプロバイダが異なる。1つの方で DDoS 攻撃を受けた時、 もう1つの方は影響なかった。収容局なり装置なりは別になっていると考えていいだろう。 トラブルが起きた時がいろいろ分かる時、トラブルも次のステップの糧にしよう。装置は 具体的にはレイヤ3スイッチということになるか。同じ収容局でも装置は幾つもある場合 があって、リクエストすれば別な装置に回線をつなげてくれることもあるらしい。 ラドウェアの人からできたばかりの小冊子をもらった、2015年の5月頃か。「DDoS攻 撃対策ハンドブック」 "DDoS攻撃対策で知っておくべき情報を全て網羅した究極ハンドブ ック"。B5サイズ 43 ペ−ジ。 これなら鞄に入れておいて電車の中なんかで読むことがで きる。かなり詳しく書かれている。一度しっかり読んでみたい。回線飽和型の攻撃という のを普通イメ−ジするが、DDoS 攻撃には幾つも種類があると書かれてある。 回線飽和型の DDoS 攻撃があって、ヘルスチェックで対向ル−タへの ping が応答しない 場合。LinkProof は別回線に誘導することが出来る。プロバイダを通って自社のWebサ −バなどに大量パケットが押し寄せて来ている場合、これが1つ目のパタ−ン。2つ目の パタ−ンはプロバイダを通って他の所に大量パケットが来ている場合。プロバイダと自社 の間は特に大量パケットは来ていないという状況である。 2つ目では自社用のプロバイダ設置の対向ル−タには ping は普通に応答する。しかしイ ンタ−ネットのサイトへはアクセスができない。プロバイダのネットワ−クの中が飽和し ていて、そこを通過してインタ−ネットに行けないのである。こういう場合、対向ル−タ へのヘルスチェックではだめで、もう1つ向こうのレイヤ3スイッチなりにヘルスチェッ クしないと。しかしプロバイダのネットワ−ク構造の話になり、知るのは難しいと思う。 ヘルスチェックの ping 応答がパケットロスが10%とか30%とか起きていたらどうな るか。正常な回線状態の時のパケットロスの値をみておいて、それを超えたら回線ダウン しているとみなすとかしないと。パケットロス30%とかなるとブラウザの表示もたどた どしくなったり、メ−ルも取れたり取れなかったりする。LinkProof でこんな判定ができ るのか。しきい値を設けることができるのか。ざっと見たところどうも出来そうにない。 しきい値というのは LinkProof では設定出来ない。 この状況は傍から ping で応答をチ ェックしていてそれ以上のことはできなくて。一見してそんなに問題があるように見えな いので対応に困ってしまう。いっそダメならダメというのが対応がはっきりして容易なの だが。主回線から副回線ヘの切り替えは自動ではできなくても、手動で主回線のネットワ −クケ−ブルを LinkProof から抜いてしまう。これで強制的に副回線に変わる。 (3) LinkProof Branch を予備機に * LinkProof Branch を予備機に LinkProof Branch の電源を入れた。RS-232C でパソコンとつないだ。 オスの9ピンはつ なぐのに2つ程 RS-232C のコネクタをかました。Tera Term で RS-232C のパラメ−タを セット 19200 bps, 8 bit, Parity None, Stop Bit 1, フロ−コントロ−ルなし。ログイ ンとパスワ−ドを入れ、Linkproof#system config 叩いてインタ−フェ−スの設定など見 た。昔に設定したままだと思ったが一応確認した。眠っていた Windows XP を取り出して クロスケ−ブルで直結しIEでアクセスした。OK、ここまで30分だ。 動作テストは疑似環境で行なう。回線Aがダウンしたと仮定して、ケ−ブルのコネクタを 抜いて回線Bの方を使う確認をやってみる。回線Bを通ってWebサ−バにアクセスでき るか、ちゃんとメ−ルは送受信できるかとか。本番機が設置設定できたところで、本番機 のケ−ブルをぬいて予備機に付け替えて、実際の動作をみるのがいいが。そこまでは本番 機の設置当日、余裕がなかった。時間的にというよりも精神的な余裕だ。予備機はいわば 本番機故障時にはぶっつけ本番ということになってしまったが、先ず問題ないと思う。 * LinkProof/Branch の動作テスト環境 長らく眠っていた LinkProof Branch を取り出し、10年前に設定した資料も取り出して 1日2日でテスト環境を作った。今回はミニ・インタ−ネットのネットワ−クのところは 作らなかった。最小限のネットワ−ク構成で LinkProof の動作テストをやってみる。 下 記の絵で回線相当のところに PC1、PC2 というように直接パソコンを置いてみた。これで 1週間ほどやってみて昔設定した感触を思い出した。 そして今回購入の LinkProof が届 いてSI業者が設定に来るまでの1週間で、この環境でテストをやってみた。 パソコンの PC1, PC2 のDNSはそれぞれ G1, G3 のIPアドレスを指定する。これがミ ソである。LinkProof がインタ−ネット回線につながるポ−トのIPアドレスのところで はDNSサ−バが動いているということになる。今回それを利用してテストしようと考え た。A回線が主で繋がっている場合、C回線側の PC2 で eee.nix.co.jj への ping 応答 は 202.241.128.3 を返す。A回線のケ−ブルを抜いてC回線の方を主にしたら PC2 での eee.nix.co.jj は xxx.xxx.50.28 を返す。そうした動作の想定をして実験をやってみた。 FortiGate-80C は比較的新しいファ−ムウェアにした。 Windows XP のIEではアクセス しても画面が出てこなかった。Mozilla でアクセスした。FortiGate-80C はファイアウォ −ルとして設定する。 DMZのマシンの FortiGate でのポリシ−設定でどれだけのこと をやらないけないか明らかにする。 前にいじった際には Windows パソコンに LinkProof Branch の管理ソフト Configware を入れてやった。 今回はブラウザでアクセスして設定 した。前回は Configware ソフトでないと設定ができない所があると思っていた。 PC1 PC2 A□ C□ C回線用のIP PC1のIP:202.241.128.1, DGとDNS:202.241.128.9。 .1‖ |50.25 xxx.xxx.50.0 PC2のIP:xxx.xxx.50.25, DGとDNS:xxx.xxx.50.26。 ‖ | ‖ |↑50.27で外へ 本番環境では PC1, PC2 のとこ G1‖.9 G3|50.26 50.28 50.29 50.30 ろはル−タである。FireWallは ------------- ◇ ◇ ◇ 同じFortiGate で機種が異なる。 | Branch | 仮想IPアドレス テスト環境で使用モデルは 80C。 ------------- □ □ □ G2‖.9 |.3 |.7 |.8 A回線用のIP =========================================== 202.241.128.0 ‖.2 □DMR □WWW □Cybozu NAT------------.2 |.1 |.7 |.8 | FireWall |------------------------ 192.168.2.0 ------------ □PC |.2 |.7 ------------------------------------------- 192.168.1.0 [ テスト用マシン兼の Cobalt Qube3 の設定 ] Cobalt Qube3 か何かをテスト的にDMZサ−バに設置し回線冗長化対応してみる。DMRマ シンとしてみる。DMR はDNSとMR(メ−ルリレ−)サ−バのマシンである。先ずは社内 のパソコンから Qube3 のDNSを設定するために、Qube3 にアクセスできるようにする。 /etc/named/db.nix.co.jj ----------------------------------------------------------- |$TTL 86400 |nix.co.jj. IN SOA qub3.nix.co.jj. admin.qub3.nix.co.jj. ( | 145093353 ; serial number | 10800 ; refresh /etc/resolve.conf | 3600 ; retry ------------------------- | 604800 ; expire |nameserver 202.241.128.3 | 86400 ; ttl |search nix.co.jj |nix.co.jj. IN NS qub3.nix.co.jj. |domain nix.co.jj |eee IN NS linkp1 |eee IN NS linkp2 # ps -ef | grep named |linkp1 IN A 202.241.128.1 << 注。 # kill -HUP Process-ID |linkp2 IN A xxx.xxx.50.26 | パソコンPC の TeraTerm の telnet |nix.co.jj. IN MX 20 qub3.nix.co.jj. で Qube3 に入って作業した。named |qub3 IN A 202.241.128.3 の制御ファイルを直接いじった。 注. linkp1 IN A 202.241.128.9 が多分正しい、肝心な所を書き間違えた。`2h/07/s [ FortiGate-80C のポリシ−のル−ルの設定 ] [ポリシ−]->[IPv4] ----------------------------------------------- 送信元 宛先 サ−ビス アクション NAT [オブジェクト]->[アドレス] ----------------------------------------------- dmz -> lan LinkProof 202.241.128.9/32 all all ALL ACCEPT 無効 dmr 192.168.2.1/32 ----------------------------------------------- dmr_vir_add 202.241.128.3/32 dmz -> wan1 all dmr_vir_add ALL ACCEPT 有効 dmr LinkProof DNS ACCEPT 有効 [オブジェクト]->[バ−チャルIP] ----------------------------------------------- lan -> dmz dmr_vir_nat 202.241.128.3 -> all dmr ALL ACCEPT 無効 192.168.2.1 wan1 ----------------------------------------------- lan -> wan1 all dmr_vir_add ALL ACCEPT 有効 all all ALL ACCEPT 有効 ----------------------------------------------- wan -> dmz all dmr_vir_nat ALL ACCEPT 無効 ----------------------------------------------- wan -> lan all all ALL_ICMP ACCEPT 無効 ----------------------------------------------- Implicit all all ALL DENY ----------------------------------------------- * 予備機としての LinkProof Branch の設定 [Device]->[Device Monitoring] NHR Status Priority Mode In Rate Out Rate ------------------------------------------------ AAA ○ 1 regular 0 0 CCC ○ 1 backup 0 0 [Device]->[VLAN Table] Interface Protocol Type vlan Interface vlan Port Number index index Port Type ---------------------------- -------------------------------------- 100000 other regular 100001 1 static 100001 ip regular 100001 2 static [Router]->[Router Table] Destination Address Network Mask Next Hop Interface Index Type --------------------------------------------------------------------------- 0.0.0.0 0.0.0.0 xxx.xxx.50.25 3 remote xxx.xxx.50.0 255.255.255.0 0.0.0.0 3 local 202.241.128.0 255.255.255.0 0.0.0.0 100001 local [Router]->[IP Router]->[Interface Parameters] IP Address Network Mask If Number VlanTag ----------------------------------------------------- xxx.xxx.50.26 255.255.255.0 3 0 202.241.128.9 255.255.255.0 100001 0 ※ Fwd Broadcast:[enable ▽] Bloadcast Addr:[ONE FIL ▽] IP Address Advert. Address Max Advert. Interval Advert. Lifetime ------------------------------------------------------------------------ xxx.xxx.50.26 224.0.0.1 600 450 1800 20.241.128.9 255.255.255.255 600 450 1800 ※ Advertise:[disable ▽] Reset Defaults:[FALSE ▽] [LinkProof]->[Smart NAT]->[No NAT Table] From Local IP To Local IP Port Number Router IP ----------------------------------------------------------- 202.241.128.3 202.241.128.3 0 202.241.128.1 [LinkProof]->[Smart NAT]->[Static NAT Table] From Local To Local Sever Router IP From Static To Static Sever IP Sever IP NAT IP NAT IP ---------------------------------------------------------------------------- 202.241.128.3 202.241.128.3 xxx.xxx.50.25 xxx.xxx.50.28 xxx.xxx.50.28 [LinkProof]->[Smart NAT]->[Dynamic NAT Table] From Local IP To Local IP Router IP Dynamic NAT IP Redundancy Mode ---------------------------------------------------------------------------- 202.241.128.2 202.241.128.2 xxx.xxx.50.25 xxx.xxx.50.27 regular [LinkProof]->[DNS Configuration]->[Name To Local IP] Host Name Local IP Address -------------------------------- eee.nix.co.jj 202.241.128.3 [LinkProof]->[Next Hop Routers]->[NextHop Routers Table] NHR Address NHR Name Operational Status NHR Priority Attached Users --------------------------------------------------------------------- Number xxx.xxx.50.25 CCC active 1 3 202.32.128.1 AAA active 1 13 ※ AAA は NHR Mode:[regular ▽]、CCC は NHR Mode:[backup ▽]。 ※ NHR Proximity Check Status:[disable ▽]。 [LinkProof]->[Proximity]->[Proximity Parameters]->[General] Proximity Mode:[No Proximity ▽] [LinkProof]->[Proximity]->[Proximity Parameters]->[Checks] Basic Proximity Status: [both ▽] 他全部も both。 [Health Monitoring]->[Global Parameters] Health Monitoring Status:[Use Connectivity Checks ▽] [LinkProof]->[NHRs Advanced Configuration]->[Next Hop Routers] 表示があるのみ。 [LinkProof]->[Next Hop Routers]->[Full Path Healht Monitor Table] 以下は設定なし。 [LinkProof]->[NHRs Advanced Configuration]->[Grouping] [LinkProof]->[Proximity]->[Static Proximity] [Health Monitoring]->[Check Table] [Health Monitoring]->[Binding Table] [Health Monitoring]->[Packet Sequence Table] * Use Health Monitoring を使用する場合 [Health Monitoring]->[Global Parameters] Health Monitoring Status:[Use Health Monitoring ▽] (4) LinkProof 本番機の設定と運用 * 作業手順 現状のDNSの制御ファイルをコピ−する。日付をファイル名の後ろにつけて。これまで 一応コピ−したその日の日付にしている。xxxx20160401 とか。 DNSの設定を5分で変更が反映されるよう変える。正引ファイルの refresh を 300 に する。TTL も 300 にした。先ずはシリアル番号は変えずに。Mail-Relay マシンにて作業。 Mail-Relay マシンで # ps -ef | grep named でプロセス番号をみる。refresh 値など変 えたら # kill -HUP pid で反映させる。nslookup コマンドで変わったか確認する。 自社のDNSサ−バだけで LinkProofの機能が働くようにする。外からこのDNSのIP アドレスを指定すればDMZのWWWサ−バの主回線、副回線の動作をチェックできる。 DNSの制御ファイルには LinkProof利用の記述をしてコメントにしておく。WWWサ− バはテスト用の eee.nix.co.jj を記述する。外からこのドメイン名でアクセスできる。 現状のインタ−ネット接続周りの絵を手書きでいいから描いておく。LinkProof をかまし た後の絵も描いておく。これですぐに元に戻すことができるようにしておく。 LinkProof をかましネットワ−クケ−ブルをちゃちゃっと繋ぎかえる。ファイアウォ−ル のデフォルトゲ−トウェイを変更する。これでとりあえず作業は第一段階がおわり。 アウトバウンドの動作の確認をする。社内から外部へアクセスできるか。主回線のケ−ブ ルを抜いて副回線を通ってアクセスできるか。外部のホ−ムペ−ジが出てくるか。 DNSの制御ファイルで冗長化用を記述してコメントにしていたところを外し kill をや る。www.nix.co.jj、mail.nix.co.jj など。 社内から ikken@tcp-ip.or.jj 宛にメ−ルを送る。 向こうでは katou@nix.co.jj に返す ようにしている。これで返ってくるか。あるいは携帯などから社内にメ−ルするか。 主回線のケ−ブルを抜いて副回線経由でメ−ルが来るか。ここまでの確認ができれば先ず 大丈夫といえる。LinkProof の設定は問題ない。 "確認くん" というサイト https://www.ugtop.com/spill.shtml で、どちらの回線からイ ンタ−ネットに出て行っているか分かる。LinkProof のIPアドレスが出る。 主回線がダウンして副回線に切り替わる。そして主回線が復旧したら副回線から主回線に また自動で切り替わる。Active-Standby の場合の動作である。これも確認すること。 * DNSの制御ファイルのこと /etc/named.conf ------------------------------ | | 参考は "21-5.続インタ−ネット接続周りの事、(3)や |view "SOTO" { っぱり最後はDNSをいじる"。 | match-clients { any; }; | allow-query { any; }; | recursion no; | allow-recursion { none; }; << ここの none を any に変更した。 当日、上記の制御ファイルで allow-recursion { any; }; とした。 他のインタ−ネット 回線につないだパソコンなどから LinkProof の動作をテスト的に確認をするため、 この DNSサ−バを指定して使えるようにしようとした。 これは LinkProof 用にDNSの制 御ファイルを設定したのを、2次DNSサ−バに反映させないようするためシリアル番号 は上げない。直接この自社のDNSサ−バを指定すれば、 そこだけ LinkProof 用の制御 ファイルが使えるということにしたかったので、こうしたことをやってみた。 しかし既にそのような設定になっていた。allow-recursion { any; }; にしても動作は変 わらなかったと後日理解した。allow-query { any; }; の設定でどこからでもこのDNS サ−バに問い合わせができる。しかし recursion no; で、 このDNSサ−バが持ってい るゾ−ン情報のみ問い合わせに答える。もうここでそうした制限をかけているので、次の allow-recursion はル−ルとしては無効ということになる、はずである。外のどこからで もDNSが勝手に使われているのでないかとやや心配だったが問題なかった。 * 基本設定 LinkProof を2重化する構成ではファイアウォ−ルと LinkProofの間のセグメントは主回 線のIPは使えない。別なIPにするのが仕様で、既存構成の大幅な変更が必要になる。 DNS Virtual IP は LinkProof の装置を2重化する際に必要である。単体で設置する場合 は使わなくても設定できる。むしろパブリックIPが必要になるので使わない方がいい。 入手した LinkProof の設定マニュアルは2重化構成で、DNS Virtual IP を使うものだっ た。当初SI業者の技術者は DNS Virtual IP を使う構成を提示してきた。 Static NAT はC経由で外からDMZのマシンへのアクセスの設定。 これが主回線がダメ になった際に生きてくる副回線側のDMZ上のマシンへのIPアドレスの設定である。 [LinkProof]->[DNS Configuration]->[Name to Local IP] インバウンドのトラフィック 制御。DMZのマシンの紐付けはあらかじめ記載していても構わない。 Farm の作成、[LinkProof]->[Farms]->[Farm Table]。Active-Standby や Active-Active など設定毎に作ることができる。でも1つ Farm を作って設定を変えれば済む話である。 [LinkProof]->[Smart NAT]->[Dynamic NAT Table] この他 Static NAT など設定し直す場 合は既存のエントリをいったん消して作り直す。 LinkProof のポ−ト G-1 と G-2 をVLANにする。G1 と G2 は 202.241.128.0 ネット ワ−クということ。G3 は xxx.xxx.50.0 ネットワ−クである。 この LinkProofでは外へ出ていくパケットと装置のインタ−フェ−スのIPアドレスを共 用することができる。LinkProof Branch ではできなかった。IPアドレスを節約できる。 ファイアウォ−ルでは LinkProof をかますに当たって、 何かル−ルを設定することがあ るのか。気になるところだが無い。デフォルトゲ−トウェイを変更するのみである。 1.1.1.1 2.2.2.2 LinkProof の回線状態のヘルスチェック先を □プロバイダA □プロバイダC どこにするかということ。プロバイダCの回 |のDNS2次 |の提供DNS 線ではこちらのル−タ xxx.xxx.50.25、さら / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ に相手ル−タの R3 を指定するのがいいので \________________/ ないか。C回線はフレッツADSLでどうもル− A|主 C|副 タのIPアドレスは変わるようなのだ。それ □ □ でプロバイダCがユ−ザにサ−ビスしている R1: R3: DNSサ−バのIPアドレスを指定すること :R2 :R4 にした。プロバイダCは老舗で信頼がおける。 □ □ プロバイダAのDNSサ−バも指定に使おう ‖.1 |50.25 と思ったがあまりという感じだった。副回線 ‖ | の方なら影響はあまりないのでいいのだが。 ‖ |↑50.26で外へ G1‖.9 G3|50.26 50.28 50.29 50.30 実はこの設定では 50.27が ------------- ◇ ◇ ◇ 空いている。これを利用し | LinkProof | 仮想IPアドレス て LinkProofとル−タの間 ------------- □ □ □ にハブをかましパソコンを G2‖.9 |.3 |.7 |.8 繋ぎIPを 50.27にしデフ ======================================= 202.241.128.0 ォルトゲ−トウェイ 50.25 ‖.2 □DMR □WWW □Cybozu にすれば、回線Cをテスト ------------.2 |.1 |.7 |.8 用として使うことができる。 | FireWall |---------------------- 192.168.2.0 >tracert 202.241.128.3を ------------ △PC やると回線Cからインタ− |.2 |.7 ネットへ行き回線Aに入り ----------------------------------------- 192.168.1.0 アクセスという経路を辿る。 [Device]->[VLAN Table] の Interface Number 100001 にポ−トの G-1 と G-2 を加えた。 Protocol は IP、Type は Regular。[Device]->[VLAN Tagging] これは何もやらない。 [Router]->[IP Router]->[Interface Parameters] インタ−フェ−スの設定 IP Address | Network Mask | If Number | VLAN Tag --------------|---------------|-----------|--------- xxx.xxx.50.26 | 255.255.255.0 | G-3 | 0 202.241.128.9 | 255.255.255.0 | 100001 | 0 << VLANで G-1,G-2。 画面 Interaface Parameters Update で "One Ip" を Disable から Enable にした。 ------------------------------------------------------------------------- | IP Address: xxx.xxx.50.26 If Number: [G-3 ▽] | | Network Mask: [255.255.255.0 ] Fwd Broadcast:[Enable ▽] | | Broadcast Addr: [ONE FILL ▽] VLAN Tag: [0 ] | | One Ip(Router Interface Only):[Enable ▽] Peer Address: [0.0.0.0 ] | ------------------------------------------------------------------------- [LinkProof]->[Smart NAT]->[Dynamic NAT Table] ↓IPアドレスを共用してる。 From Local IP | To Local IP | Server IP | Dynamic NAT IP | Redundancy --------------|---------------|---------------|----------------|------- Mode 202.241.128.2 | 202.241.128.2 | xxx.xxx.50.25 | xxx.xxx.50.26 | Regular [Router]->[Routing Table] 静的経路の設定 Dest Address | Network Mask | Next Hop | Interface Index | Type --------------|---------------|---------------|-----------------|------- 0.0.0.0 | 0.0.0.0 | 202.241.128.1 | 10001 | remote 0.0.0.0 | 0.0.0.0 | xxx.xxx.50.25 | G-3 | remote xxx.xxx.50.0 | 255.255.255.0 | 0.0.0.0 | G-3 | local 202.241.128.0 | 255.255.255.0 | 0.0.0.0 | 10001 | local ※ この時は一番上のエントリは表示されてなかったが、コマンドでは出てくる。 [LinkProof]->[DNS Configuration]->[Name to Local IP] Host Name | Local IP Address | Farm Name | Backup In DNS Response ---------------|------------------|-----------|----------------------- mail.nix.co.jj | 202.241.128.3 | LinkFarm | Enable www.nix.co.jj | 202.241.128.7 | LinkFarm | Enable eee.nix.co.jj | 202.241.128.7 | LinkFarm | Enable DNSの正引きの制御ファイルにエントリ eee.nix.co.jj を書いておき、 LinkProof に も書いて動作テストする。正引きファイルにエントリを書いてなく、[Name to Local IP] に書いている状態でもおかしな動作にはならない。パソコンのDNS指定を自社のDNS サ−バにして、外部からか社内からでもいいかも、http://eee.nix.co.jj/ とアクセスし てホ−ムペ−ジが出てくるか見る。 この時点でDNSの named サ−バは制御ファイルを 再読込みはするが、シリアル番号はそのままである。うまく行ったらDNSの制御ファイ ルに mail.nix.co.jj と www.nix.co.jjを記載して、DNSの制御ファイルのシリアル番 号を上げてプロバイダのDNSに反映させる。 # nslookup DMZ上の DMR マシンで named の操作をして、DNSサ−バの状 > server 1.1.1.1 態をチェックした。10分待たずにDNS2次サ−バの情報も変わ > set type=any った。左の nslookup コマンドでシリアル番号が変わっていること > nix.co.jj が分かる。もう1つのDNS2次サ−バも見たら変わっていた。 [LinkProof]->[Smart NAT]->[No NAT Table] From Local IP | To Local IP | Port Number | Server IP --------------|---------------|-------------|-------------- 202.241.128.3 | 202.241.128.3 | 0 | 202.241.128.1 202.241.128.7 | 202.241.128.7 | 0 | 202.241.128.1 202.241.128.8 | 202.241.128.8 | 0 | 202.241.128.1 [LinkProof]->[Smart NAT]->[Static NAT Table] From Local IP | To Local IP | Server IP | From Static | To Static | | | NAT IP | NAT IP --------------|---------------|---------------|---------------|-------------- 202.241.128.3 | 202.241.128.3 | xxx.xxx.50.25 | xxx.xxx.50.28 | xxx.xxx.50.28 202.241.128.7 | 202.241.128.7 | xxx.xxx.50.25 | xxx.xxx.50.29 | xxx.xxx.50.29 202.241.128.8 | 202.241.128.8 | xxx.xxx.50.25 | xxx.xxx.50.30 | xxx.xxx.50.30 [LinkProof]->[Farms]->[Farm Table] Farm Name | Dispatch | Client | Connectivity | Packet | Method | Aging Time | Check Status | Handling ----------|----------|------------|-------------------|--------- LinkFarm | Cyclic | 60 | Health Monitoring | Disable [LinkProof]->[Servers]->[Logical Routers Table] Farm Name | Router Name | IP Address | OperStatus | Weight | OperMode ----------|-------------|---------------|------------|--------|--------- LinkFarm | NHR1 | 202.241.128.1 | Active | 1 | Regular LinkFarm | NHR2 | xxx.xxx.50.25 | Active | 1 | Backup [Health Monitoring]->[Global Parameters] Status は Enabled に、他はデフォルトで。 [Health Monitoring]->[Check Table] Check Name | Check ID | Method | Status | Destination Host -----------|----------|--------|--------|----------------- NHR1_c1 | 0 | Ping | Passed | 202.241.128.1 << 中身で"Next Hop" NHR1_c2 | 1 | Ping | Passed | R1 絵の中のIP << は 202.241.128.1。 NHR2_c1 | 2 | Ping | Passed | xxx.xxx.50.25 << これら"Next Hop" NHR2_c2 | 3 | Ping | Passed | 2.2.2.2 << は xxx.xxx.50.25。 [Health Monitoring]->[Binding Table] Mondatory の選択は Mondatory で。 ヘルスチェックが回線を切り替える役目をするための、回線の状態を監視をしている。 A回線側の定義に NHR1_c1 と NHR1_c2 を使うよ、C回線側には NHR2_c1 とNHR2_c1 を使うよというのをここで定義している。設定を忘れがちだが重要な設定である。 [LinkProof]->[DNS Configuration]->[Response] Response TTL を記載、推奨は5秒。 [Router]->[RIP]->[Interface Parameters] で2つ Status を off。RIP 情報を流さない。 [Security]->[Management Ports] で G-1,G-2 はアクセスプロトコルを全部 Disabled に。 LinkProof の設定をセ−ブする [File]->[Configuration]->[Receive from Device] 画面 にて。Configuration type:[Regular ▽] << Backup(Active-Backup) というのもあった。 これで D:\RadwareInsite\DeviceConfigurationFile日付がついたファイルができた。 い や違うか。設置は `2g/01 にやって `2g/12 に設定を今一度確認にしてセ−ブもしてみた。 そしたら D:\Users\katou\ダウンロ−ド\Device.... に入った。久しぶりに触ってブラウ ザ表示したものの、ログアウトするメニュ−が見当たらなくて、そのまま閉じてしまった。 その後、SI業者に聞いたらメニュ−はないのだと、そのままブラウザを閉じて大丈夫と のことだった。一応この LinkProof のソフトウェアのバ−ジョンは 6.12.xxxx だった。 [LinkProof]->[Farms]->[Farm Table] これは詳しく中身を表示してみた。 -------------------------------------------------------------------------------- | Farm Table Update | |------------------------------------------------------------------------------- || Farm Name: LinkFarm Dispatch Method: [Cyclic ▽] || Client Aging Time(Sec): [60 ] Connectivity Check Status: [Health 続く || Connectivity Check Monitoring ▽] || Interval:[10 ] Connectivity Check Retries:[5 ] || Default Farm Action: [Drop ▽] Packet Handling: [Disable ▽] || NAT Mode: [Enable ▽] Transparent Proxy Port: [0 ] || POP3 Proxy Delimiter: [# ] |------------------------------------------------------------------------------- * Static PAT は使えるかの検討 いわゆるポ−トフォワ−ディング機能である。家庭用のブロ−ドバンドル−タでも入って いる機能である。パケットを内部へ送るパケットのフォワ−ディング、パケット転送機能。 [LinkProof]->[Smart NAT]->[Static PAT Table] --------------------------------------------------------------- | Static PAT Table Create | |-------------------------------------------------------------- || Internal IP: [202.241.128.7 ] Intenal Port: [80 ] Web アクセス || Protocol: [tcp ▽] Server IP: [xxx.xxx.50.25 ▽] || External IP: [xxx.xxx.50.30 ] External Port: [80 ] || Static PAT Mode: [Regualr ▽] Static PAT Name: [NET-C_80 ] |-------------------------------------------------------------- |-------------------------------------------------------------- || Internal IP: [202.241.128.8 ] Intenal Port: [23 ] telnet アクセス || Protocol: [tcp ▽] Server IP: [xxx.xxx.50.25 ▽] || External IP: [xxx.xxx.50.30 ] External Port: [23 ] || Static PAT Mode: [Regualr ▽] Static PAT Name: [NET-C_23 ] |-------------------------------------------------------------- A□PC C□PC 回線CのパブリックIPが xxx.xxx.50.30ま .1‖ |50.25 でしかないとする。50.31 はない。しかし対 ‖ |↑50.26 象とするマシンは2つある。50.30 の80番ポ G1‖.9 G3|50.26 50.30 −トへは202.241.128.7への対応付け。50.30 ------------- ◇ の23番ポ−トへは 202.241.128.8への対応付 | LinkProof | 仮想IP けとする。SV1 ではWebサ−バが動いてい ------------- □ □ て、SV2 では telnet へのアクセスができる。 .9‖ 202.241.128.0 |.7 |.8 ===================================== 問題はこれらのマシンにpingがこのままでは ‖.2 □SV1 □SV2 通らないという事である。パブリックIPを ------------.2 |.7 |.8 節約ができるのだがあまり面白くはない。問 | FireWall |------------------ 題が起きた際の見極めが難しくなるので、こ ------------ 192.168.2.0 のテクニックは用いないことにした。これ以 |.2 上ネットワ−クの構成を複雑にはしたくない。 ------------------------------------- 以上はテスト環境で動作の確認をやってみた。 (5) ファイアウォ−ルの挙動の復習 * テスト用ネットワ−ク構成 □ル−タ □ □ 仮想IPアドレス FireWall は FortiGate-80C を |.1 |.3 |.7 設置。ル−タは実際は設置して ---------------------------------- 202.241.128.0 ない。WAN側は仮想IPアド |.2 □DMR □WWW レスなので何もしなくてもいい NAT------------.2 |.1 |.4 ような気がする。しかし PC か | FireWall |----------------- 192.168.2.0 ら ping 202.241.128.3 とやっ ------------ △PC ても反応しない。FortiGate の |.2 |.7 WAN インタ−フェ−スにハブを ---------------------------------- 192.168.1.0 つなぎ電源を入れると応答する。 ファイアウォ−ルのオブジェクトの作成。WWWホスト は web とする、192.168.2.4。 DMR ホストは DNSサ−バ兼 Mail-Relay サ−バで dmr とする、192.168.2.1、インタ−フェ− スは dmz か any、dmz が望ましい。DMRホスト は Cobalt Qube3 を使う。 * Test-1 : PC から http://192.168.2.1/admin にアクセス。ping OK。 lan -> dmz ※宛先は dmr でもいい。 -------------------------------------------------------------------- 番号 送信元 宛先 スケジュ−ル サ−ビス アクション NAT -------------------------------------------------------------------- 1 all all always ALL 〆ACECPT 無効 * Test-2 : PC から http://202.241.128.3/admin にアクセス。ping OK。 [ポリシ−&オブジェクト]->[オブジェクト]->[バ−チャルIP] IPv4バ−チャルIP 詳細 インタ−フェ−ス -------------------------------------------------------------------- dmr_vir_nat 202.241.128.3 --> 192.168.2.1 wan1 インタ−フェ−スは wan1 でないといけない。any, dmz はだめだった。 このエントリは ポリシ−に記載があると削除できない。インタ−フェ−スを変えようとしても選択肢が出 て来なくてできなかった。 lan -> wan1 -------------------------------------------------------------------- 番号 送信元 宛先 スケジュ−ル サ−ビス アクション NAT -------------------------------------------------------------------- 1 all all always ALL 〆ACECPT 有効 wan1 -> dmz -------------------------------------------------------------------- 2 all dmr_vir_nat always ALL 〆ACECPT 無効 lan -> dmz ※これはなくてもアクセスできた。 -------------------------------------------------------------------- 3 all dmr always ALL 〆ACECPT 無効 * Test-3 : PC から http://dmr1.nix.co.jj/admin にアクセス。ping OK。 社内のパソコンPC から Qube3 にURLでアクセスする。Qube3 にDNSサ−バの設定を する。PC のロ−カルエリア接続のプロパティで DNS サ−バを 202.241.128.3 に。 /etc/named/db.nix.co.jj /etc/resolv.conf --------------------------------------- --------------------- |nix.co.jj. IN SOA qub3.nix.co.jj. 続く |nameserver 127.0.0.1 |nix.co.jj. IN NS qub3.nix.co.jj. |qub3 IN A 202.241.128.3 |dmr1 IN A 202.241.128.3 PC をWANにおいての確認。設定はこれまでので出来た。FireWall の WANポ−トにつな いだハブにパソコンPC を置いた。PC のIPアドレス 202.241.128.100、デフォルトゲ− トウェイ 202.241.128.2。ping dmr1.nix.co.jj、http://dmr1.nix.co.jj/admin OK。 * Test-4 : これまでの設定のまとめ これまでの設定で PC から 192.168.2.1 に ping が行く。 それに ping dmr1.nix.co.jj も、ping 202.241.128.3 もOK。 lan -> wan1 -------------------------------------------------------------------- 番号 送信元 宛先 スケジュ−ル サ−ビス アクション NAT -------------------------------------------------------------------- 1 all dmr_vir_add always ALL 〆ACECPT 有効 wan1 -> dmz -------------------------------------------------------------------- 2 all dmr_vir_nat always ALL 〆ACECPT 無効 lan -> dmz -------------------------------------------------------------------- 3 all dmr always ALL 〆ACECPT 無効 * Test-5 : Cobalt Qube3 にメ−ルストアの設定をする−その1 qub3# Mail -v katou@nix.co.jj Subject: 111 eee . katou@nix.co.jj... nix.co.jj: Name server timeout katou@nix.co.jj... Transient parse error -- message queued for future delivery katou@nix.co.jj... queued Qube3 のDNSの設定 どうもおかしい。メ−ルうんぬんの前に Qube3で --------------------------------- の挙動を確認する。Qube3 に telnet ではいって |dmr1.nix.co.jj A 202.241.128.3 ping 202.241.128.3 は1回しか応答しない。 で |www.nix.co.jj A 202.241.128.7 も ping 192.168.2.1 はちゃんと応答する。ファ |qub3.nix.co.jj A 202.241.128.3 イアウォ−ルの以下の設定を追加したらできた。 dmz -> wan1 -------------------------------------------------------------------- 番号 送信元 宛先 スケジュ−ル サ−ビス アクション NAT -------------------------------------------------------------------- 1 all dmr_vir_add always ALL 〆ACECPT 有効 * Test-6 : Cobalt Qube3 にメ−ルストアの設定をする−その2 ユ−ザ katou,katou 作成 これでメ−ルを送受信する。 [システム]->[TCP/IP] の設定は ホスト名 qub3、ドメインネ−ム nix.co.jj、DNSサ−バ 202.241.128.3、プライマリイン タ−フェ−ス 192.168.2.1。メ−ルサ−バの設定は SMTP/IMAP/POP 有効、 これらのホス ト/ドメイン宛の電子メ−ルを受信する nix.co.jj。DNS 設定で SOAレコ−ドの修正、 プ ライマリネ−ムサ−バ qub3.nix.co.jj。 DNS に MX レコ−ド記載 -------------------------------------------------- |202.241.128.3/255.255.255.0 PTR qub3.nix.co.jj << 逆引きいります。 |nix.co.jj MX qub3.nix.co.jj |www.nix.co.jj A 202.241.128.7 |qub3.nix.co.jj A 202.241.128.3 パソコンで nslookup で MX があることを確認。逆引きがないと nslookup 叩いても認識 しなかった。パソコンからメ−ルも送信できなかった。 /etc/resolv.conf ------------------------- |nameserver 202.241.128.3 << Qube3 ではこの記載は無かったので自分で書いた。 |search nix.co.jj |domain nix.co.jj パソコンから Qube3 に telnet で入って admin,admin $ su - admin でアクセス。 qub3# Mail -v katou@nix.co.jj Subject: 111 DMZ->LAN に "all all ALL NAT無効" を 222 入れること。これで左のようにメ−ルを . 出すことができる。 katou@nix.co.jj... aliased to katou katou@nix.co.jj... Connecting to local ... katou@nix.co.jj... Sent ------------------------------------------------------------------------------------ [ 付録 ] トラブルの想定をしてみた `2h/07/s * 構成 DNS1□ nix.co.jj.zone DNS1 サ−バの設定 |X.1 --------------------------------- / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ |@ IN SOA ns0.nix.co.jj. \_______________/ | IN NS ns0.nix.co.jj. : : | IN MX 10 mail.nix.co.jj. 主: :副 |ns0 IN A X.1 □R □R |;mail IN A 202.241.128.3 .1‖ |50.25 |hostG IN A 202.241.128.2 ‖ | |hostA IN A 202.241.128.3 .9‖ |50.26 | ----------- ◇50.28 |mail IN NS linkp1 |LinkProof| 仮想IP |mail IN NS linkp2 ----------- □hostA' |linkp1 IN A 202.241.128.9 ‖.9 |.3 |linkp2 IN A xxx.xxx.50.26 ==================== 202.241.128.0 ‖.2 □hostA Mail-Relay 128.241.202.in-addr.arpa.zone -------.2 |.1 --------------------------------- |hostG|----------- 192.168.2.0 |@ IN SOA ns0.nix.co.jj. ------- □hostB Mail-Store | IN NS ns0.nix.co.jj. |.2 |.1 |3 IN PTR hostA.nix.co.jj. ---------------------- 192.168.1.0 |2 IN PTR hostG.nix.co.jj. [LinkProof]->[DNS Configuration]->[Name to Local IP] Host Name | Local IP Address | Farm Name | Backup In DNS Response ---------------|------------------|-----------|----------------------- mail.nix.co.jj | 202.241.128.3 | LinkFarm | Enable [LinkProof]->[Smart NAT]->[Static NAT Table] From Local IP | To Local IP | Server IP | From Static NAT | To Static NAT --------------|---------------|---------------|-----------------|--------------- 202.241.128.3 | 202.241.128.3 | xxx.xxx.50.25 | xxx.xxx.50.28 | xxx.xxx.50.28 * もし nix.co.jj.zone で "linkp1 IN A 202.241.128.3" としてしまったら 以前は hostA マシンでDNS1次サ−バを稼働させていた。このDNSサ−バは Amazon EC2 に持って行って、このマシンでは sendmail しか動いてない。外部からのアクセスで mail.nix.co.jj のIPアドレスを尋ねると、linkp1.nix.co.jj か linkp2.nix.co.jj に 回す。linkp1.nix.co.jj は 202.241.128.3 でDNSサ−バはもうない、止めたので回答 しない。linkp2.nix.co.jj は xxx.xxx.50.26 でこちらで回答することになる。 xxx.xxx.50.26 は LinkProof の副回線側のインタ−フェ−スで、 ここに簡易的なDNS サ−バが動いているということなる。主回線は今問題はないとする、[Static NAT Table] で hostA' は 202.241.128.3 となる。いや [Name to Local IP]の方かも。主回線にトラ ブルが起きていると hostA' は xxx.xxx.50.28 になり、mail.nix.co.jj のIPアドレス は xxx.xxx.50.28 を返す。外部からのアクセスは副回線を通ることになる。 以上のことは nslookup で mail.nix.co.jj を見たら、202.241.128.3 を返したことによ り LinkProof の動作を推測したものである。 LinkProof の linkp1 側は利用できない状 態になっているが、linkp2 側で機能しているという状態である。 このままにしておくと、 もし linkp2 側である副回線がダウンすると全然 mail.nix.co.jj にアクセスできなくな ってしまう。LinkProof は多少設定を誤ってもタフに動くと言うことが言える。