4.ネットワ−クの保守と拡張 4-1. 本格IT時代ヘの対応 (1) 本格IT時代の幕開け `02/10 * ブ−ムに踊らされるな お−お、ITブ−ムだぞ。選挙までこれからはITだと叫んでいた。昨年末ぐらいにIT なる言葉が登場して、今年に入って春頃からいきなりIT、ITとマスコミが騒ぎはじめ た。サミットでもITと政治家達がうなりまわっていた。シリコンバレ−に対して渋谷の ビットバレ−とか言って、インタ−ネット関連のベンチャ−の中からバブリ−な連中がで てきた。ちょうど昨年の12月頃、騒ぎはピ−クに達し、1億円出すから何でもやってく れ−という感じだった。そしてそれらの株は天井知らずとなり、一挙に下落した。しかし こんなことは一部の話であり、蓋を開けたら日本全体として見れば、韓国やシンガポ−ル なんかよりIT分野は日本が遅れていたのだ。今やそこらのおばさんでも、井戸端会議で どこのプロバイダがいいという雰囲気になっているが、肝心の中小企業での取り組みは完 全に出遅れているというしかない。 まさに日本型企業の意思決定の遅さ、遅いだけならまだしも決定自体を保留してしまうよ うな姿勢。相変わらずの年功序列による若手を登用しない風土。時代はどんどん変わって いることを認識しようとしない上の人達。技術、スピ−ド、多様性を要求するITに対し ては、旧来型の思考ではとてもや太刀打ちできない。多くの企業がついていけないのは無 理もないことである。しかし昨今のITブ−ムにより、内もECをやらないかんとITプ ロジェクトを立ち上げたりしているのでないだろうか。だいぶIBMのEコマ−スだよが 効いているようである。しかし今、真に何をしなければならないか。ECか?、そうでは ない。ブ−ムに踊らされてはいけない。ネットワ−クの基盤をちゃんと整備することが先 決なのである。ECを先にやるというのは、土台が腐りかけているビルに凝った内装をす るのと同じことなのだ。 ITだECだと言って新聞テレビをにぎわせているのは、Yahoo などの大規模なポ−タル サイト。次にインタ−ネット・ショッピングで成功した? Amazon.com、 国内ではアスク ルとか、個人商店のサイト。そして銀行や証券系の話に、製造業の B-to-B の動向となる。 製造業の我々に関係するのは B-to-B なのだ。ECやりますと言っても、作っているもの が個人が買うようなものでない。ベアリングをポンプをシリンダ−をどうするというのだ。 こうした製品は一般商品とは違った流通経路がある。商社をこれまで通しているなら、そ の商社との関係を今後どうするのか。また幾らでECでは販売するのか、売った製品のメ ンテはどうするのか。最終ユ−ザに直接売るにはそれなりのノウハウが必要である。EC サイト構築は、まともにやると相当な費用がいる。先ずはその覚悟があるのか、中途半端 なことはやめておくことである。 * インフラの整備が先決 96年97年当時、インタ−ネットの可能性に気付いた管理者は、社内の無理解と妨害に あいながら最低限の費用でインタ−ネット接続した。新しいことをやるのに、金はでない。 さらに会社のホ−ムペ−ジも、管理者自ら HTML をしこしこ書いたはずである。そして状 況はまるで変わった。電子メ−ルは営業では当り前、技術系でもCADデ−タをメ−ル添 付するのも当り前。総務や品質保証のあたりでも、1台はインタ−ネット接続したパソコ ンがないと仕事にならなくなっている。つまりインタ−ネット接続するユ−ザの数、社内 ネットワ−クに接続するコンピュ−タの数が劇的に増えていったのである。それでも日々 のパソコン作業において、普通のユ−ザにとって何か不自由があるというわけでない。管 理者だけがひしひしと危機を感じている。これが現状、大方の実態ではなかろうか。 多分もうすでにインタ−ネットへのWAN回線、 64 や 128 Kbps では一杯になっている のでないか。Windows パソコンもプリンタ/ファイルを共有すると言って、50台ぐらい つながっているかも知れない。ファイアウォ−ル・ソフトのライセンス数もきっとオ−バ しているだろう。Windows NT の RAS で、いつの間にか営業所から外線アクセスしている。 はたまたどこかの支店が、勝手に .com ドメインをとっているかも知れない。SPAMも ウィルスも心配だ。当初入れたサ−バマシンは、ファイアウォ−ル等のバ−ジョンに能力 的についていけない。メインメモリ 64 Mbyte 程度ではもはや足りなくなっている。ある いはCADのファイルサ−バも増強が必要になっているかも知れない。ともかく、全体の ネットワ−クを再構築しないと何ともならない状況になっているのだ。 それが本社のビル内だけならまだしも、国内支店、海外支店、協力会社、取引先等との接 続性も考慮しなければならない。インタ−ネット接続した当初から想定はしていたことだ が、いよいよ実際の話になってきたのだ。暗号化、認証、VPNと言った用語が踊る。こ れら全体のネットワ−クを設計、構築そして運用が本当にできるのか。アウトソ−シング するのであればどこが信頼できるのか、そしてどこまでお任せし、費用は?。自分でやる としても、全体設計にはSI業者にも関与してもらった方がいいかも知れない。一人や二 人の管理者では非常に困難である。業者へのコンサル費用は、100万円からといったと こになるか。さらにル−タなどの機器の設定まで面倒みてもらうとなると、またまた結構 な出費になる。これまでいろいろ業者さんを見てきて、CTCさんはエンジニアも優秀で、 費用の方もそうべらぼうでない。 * イントラネット環境検討 [ アプライアンス製品 Appliance ] `02/07 いわゆるばかちょん製品。最近ぼちぼち増えている。これからはこうした製品を組み合わ せて、ハイ電子メ−ルのサ−バ、DNS、ファイアウォ−ルという具合になっていくので ないか。映画 "2001年宇宙の旅" のコンピュ−タ "HAL" 見たいなスティックである。 メ−ルサ−バ専用機、Linux の Cobalt Qube とか、NAS( Network Attached Storage )と いうネットワ−ク直結ハ−ドディスクといった製品が出てきている。今のところ "HAL"は、 さしずめ 19 inch ラックかな。ファイアウォ−ルならばノキアの FireWall-1を入れた箱 である。社内ファイルサ−バには Cobalt NASRaQ を使ってみたいとこだが、 評価は今一 つのようである。NASRaQ は英語版 Linux 搭載、RAID 0,1 対応、Apache/Samba/NFS サ− バ。設定はWWWブラウザ経由で行う。Cobaltには他にも種類があり、99年秋頃からホ スティング/ハウジングのサ−ビス会社で、Cobalt の 1U タイプを 19 inch ラックにず らっと並べて使い始めているようである。 [ ポリシ−ネットワ−ク&ディレクトリサ−バ ] こんなのはいらない。雑誌を見るとこれからは、ポリシ−サ−バにディレクトリサ−バが いるのだと。そんなにサ−バばかり作ってどうする。ユ−ザ数が1000とかなればいる かも知れないが。実際何ができるか?。DHCP サ−バと組み合わせて、 パソコンの管理を 簡単にするとか。様々なソフト、ハ−ドへのロッグイン、それに各ユ−ザが使うことがで きるリソ−スなどを一元管理するのがディレクトリサ−バというものだと思うが、現状管 理できるのは限られるのでないのか。WWWサ−バを Solaris 用で買ったら、 Netscape Directory Server も入っていた。Windows NT にもそのままインスト−ルできた。特にラ イセンスうんぬんはなかったので、これで少し試してみるか。ただの住所録みたいなもの だと小生思っているが。 Windows 2000 の Active Directory ではユ−ザのアクセス制限 も出来るとある、よく分からない。 [ ウィルスチェックはこれからは必須 ] Microsoft のメ−ルソフト Outlook を狙ったウィルスがにぎわしている。1999 年はメリ ッサ、2000年 では Love ウィルスが記憶に新しい。試しに Windows 用のウィルスチェッ クソフトで調べたら、いつの間にかうようよウィルスがおるの。こりゃ、ちゃんと水際で チェックして入ってこんようにしないけない。Solaris 用で FireWall-1 とも連携すると いう InterScan VirusWall を、ファイアウォ−ルのホストに入れたい。 メ−ルだけでな く HTTP や FTP パケットの中のウィルスもチェックできるという。HTTP にウィルスがど うやって入って来るのかよく分からんが。とりあえずウィルスチェックはメ−ルだけ調べ ておけばいいと思う。他、Network Associates 社の WebShield というチェックソフトも ある。http://www.nai.com/japan/ 一度見ておくこと。 しかしフロッピ−なんかから入ってくるケ−スもある。事実小生のとこでも、某大手メ− カから来たフロッピ−にウィルスが入っていた。もし逆だったら、非難ご−ごだぞ。そう なるとマシン1台ずつにウィルスチェック・ソフトを常駐させないけないことになる。こ の費用もばかにならないし、全部のマシンを常に最新ウィルスに対応させる手間も大変で ある。それにウィルスチェックをパソコンに常駐させると、肝心な仕事のソフトが遅くな ってしまう。パソコンの立ち上がりも遅い。ここは運用でカバ−することを考えた方がい いかも知れない。Windows パソコン1台をウィルスチェック用として、皆で使うようにす るのである。そして外から来たフロッピ−や外へ出すフロッピ−は、必ずこのマシンでチ ェックするようにするのである。 * 128 Kbps から 1.5 Mbps 専用線ヘのアップの検討 `02〜 現状プロバイダで 128 Kbps を単純に 1.5 Mbps に上げるのがいいのか、この際だから大 手のプロバイダに変更してしまうか、あるいは 128 Kbps と 1.5 Mbps を併用するかいろ いろ検討してみた。今のプロバイダで 1.5 Mbps に上げるには、かなりお勉強してもらっ ても毎月55万円程かかる。プロバイダの設備の場所の関係で、128 Kbps はNTTの 15 Km 区分の NOC でいいが、1.5 Mbps はNTT 30 Km 区分になるという。このNTT回線 料が高くなってしまう。回線アップの検討は MRTG でパケットの量を見ながら2000年 初め頃から目論んでいた。そうこうする内に ADSL というのも出てきた。一応検討してみ たが、個人や SOHO 向けである。安定していないとか、NTTが接続網の情報開示してい ない部分があるとか。固定IPアドレス接続での企業向け ADSL サ−ビスも出てきてはい るが、やはり基幹のラインに使うのは無理があるように思う。 プロバイダを別なとこで検討したらどうか。IIJ の 1.5 Mbps 回線のT1スタンダ−ドサ −ビスはどうか。1/32C タイプでIPアドレスが8個、実質使えるのは6個、基本料金は 11.7 万円。 足回りは、第二電電系の中部テレコミュニケ−ション( CTC )で 15 Km 区分 を使うことにする。NTTだと距離の出し方が違って、 何故か小生の所まで 30 Km 区分 となり、DA1500 の回線料金だけで35万円もいってしまう。 ル−タは16万円ばかりだ から、買い取りにする。ついでにファイアウォ−ルも、IIJ のセキュリティスタンダ−ド サ−ビスを利用することにする。ユ−ザ数が300人まで位は WatchGuard Firebox Πで いいということである。ファイアウォ−ルのレポ−ト・サ−ビスはなし、IIJ で用意した WWWでファイアウォ−ルのログは見ることができる、これでファイアウォ−ルにかかる 費用は月5万円。こんなんで全部の毎月の費用は約34万円となる。 [ 128 Kbps から 1.5 Mbps 専用線への変更の注意点 ] 1.5 Mbps 専用線は光ファイバ−を使う。 光ファイバ−・ケ−ブルをNTTなどがすでに MDF まで引き込んでいるなら、敷設工事はすぐである。そうでなければ2ヵ月位工事の日 取りをみた方がいい。プロバイダを変更するとなると、現行のIPアドレスは返して次の プロバイダから取り直すことになる。IPアドレスが変われば FireWall-1 のライセンス 登録も変更しなければならない、2週間ぐらいかかるとか。DNS の設定もし直す必要があ る。いろいろやっかいな問題がある。WANル−タも 1.5 Mbps 用のがいる。ル−ティン グの設定も変えなければならない。IPアドレスについては、プロバイダは顧客割り当て 用のIPアドレスをプ−ルしていて、それを我々は借りているのである。そのためプロバ イダを変える場合は、借りていたのを返さなければならない。ただし返すのにある程度の 猶予期間はあるみたいである。重複して1ヵ月ぐらいは借りておくことができるようであ る。既存の 128 Kbps も、重複して少しの期間残しておいた方がいいだろう。 [ 1.5 Mbps 用の光ファイバ−敷設工事 ] NTTが光ファイバ−をすでに構内まで引き込んでいて、15 Km 区分で使えるならそれを 利用するのが一番手っ取り早い。INS 1500をすでに契約していれば、光ファイバ−・ケ− ブルの引き込み工事はされている。あるいはNTTの提案で、今後の利用に備えて工事だ けされているかも知れない。建物と電柱の間をはうNTTの電話線のケ−ブルに、クロ− ジャボックスという50センチぐらいの横長のケ−スがあれば、それは光ファイバ−・ケ −ブルである。一度あれだよと教えてもらえば、すぐ分かる。光ファイバ−自体は被覆さ れて1本 0.5 ミリ程度の直径のもので、 それを10本とか12本とか束ねたケ−ブルを 敷設する。12芯のもので太さ13ミリぐらいである。そのケ−ブルが建物の引き込み口 の箱に入り、そこから青のスパイラルテ−プを巻つけたケ−ブルが、PBX を設置している 所などへ行き、A4ぐらいの箱の構内光配線盤につながっているはずである。 INS 1500 を契約しているなら、 ケ−ブルの中の光ファイバ−を1本使っていることにな る。1.5 Mbps 専用線を契約すると光ファイバ−を1本使い、3 Mbps 専用線だと2本使い、 ATMも1本使うとか。だいたい12芯のケ−ブルだと2芯程度予備で残しておき、後は 適当に使うようである。 光ファイバ−は構内光配線盤から ONU という装置に先ずつなぐ。 そして ONU からイ−サネットのル−タへと接続する。ONU は 128 Kbps 専用線の DSU み たいなもので、光加入者線終端装置という。光信号を電気信号に変換する装置である。光 ファイバ−は曲げに弱いので、 光配伝盤や ONU という箱はしっかり固定するようである。 壁にビスでとめることになる。ONU はレンタルのみで1ヵ月 9,500 円である。 工事費は NTTのパンフレットからざっと計算すると2万2千円である。 第二電電系の電話会社にする場合。その会社とこれまでお付き合いがなければ、当然光フ ァイバ−・ケ−ブルは敷設されていない。新たに設置することになる。CTCであれば中 部電力系の会社なので、道路に立っている電力系の電柱から光ファイバ−・ケ−ブルを引 き込んでくる。ちなみにNTTでは電話系の電柱というのを用いているらしい。CTCに 1.5 Mbps 引きたいと打診すると、 事前調査なる宅内調査というのを無料でやってくれる。 彼らは建物や配管のレイアウトについて全然知らないわけで、あらかじめ建物の施工図な どを用意する必要がある。それでもマンホ−ルの蓋を開けたり、床をはぐったり、余って そうな配管に針金を通して、どこに通じているか調べたり、もう大変。さてこれでできそ うだとなると、大がかりな工事をすることになる。その費用は多分にNTTを意識した戦 略的な価格、基本工事費のまま、4万円程度とする場合が多いようである。 (2) 基本ネットワ−クの変更 `02/10 * 変更内容 ・FireWall-1 のノ−ド数をあげ、とりあえずVPN対応にする。 ・インタ−ネット接続口を DMZ 構成にする。 ・ウィルスチェックソフト InterScan VirusWall を入れる。14-7. 章を参照のこと。 ・WAN接続を 1.5 Mbps にするためのデ−タ作成。MRTG でトラフィック計測を行う。 [ 現行ホスト ] Fire: Solaris 2.6。SPARCstation 5。64 Mbyte Memory, 2 Gbyte Disk。 FireWall-1 Version 3.0b with SP83083。 WWW : Solaris 2.6。SPARCstation 5。64 Mbyte Memory, 2 Gbyte Disk。 Netscape Enterprise Server 3.5.1[ja] + パッチ。qmail。 Mail: SunOS 4.1.4-JLE + 2000年パッチ。 sendmail-8.8.5 静的配送。POP3 サ−バ popper。 * FireWall-1 Version 4.x `02/10 現在 Version 4.1 が出ているか、もう出る。 手元には Version 4.0 のメディア が '99/10 に来ているとする。 現在稼働中のは2000年対応した Version 3.0 とする。 今回のバ−ジョンアップでは、 VPN対応にしてノ−ド数を 50 から 250 にアップする。 バ−ジョンアップ費用は約113万円、翌年からの保守料は44万円である。Ver.4.0 で は暗号化標準の PKI, IKE, X.509, IPsec をサポ−トしてきている。 先ずは FireWall-1 でのVPNがどんなものか調べてみたい。どうも暗号化はかなり負荷がかかるようである。 実際に運用する場合は、別売りの暗号化専用ボ−ドをマシンに入れる必要があるかも知れ ない。それとビデオ会議の H.323 対応 NetMeeting が完全にサポ−トされた。 * 基本ネットワ−ク とりあえず今の 128 Kbps のままで、先ずインタ−ネット接続口を DMZ に変更する。DNS の変更をしなくて済むよう、WWWホストには仮想IPアドレスのテクニックを適用する。 1.5 Mbps にするためプロバイダを変更した場合、 新たに割り当てられるIPアドレスは 8個とか16個である。8個ではサブネット分割しようがなく、DMZ にパブリックアドレ スを付けることはできない。16個あれば何とかできるが、かなり苦しい。今や仮想IP アドレスは、普通に用いられるテクニックになっている。今回 DMZ にするのは RDBMS も WWWのサ−ビスで連携を取って行きたいからである。RDBMS は安全のため内部におくべ きである。バリアセグメントに置いておくと、 外から RDBMS にアクセスされデ−タを取 られかねない。実際WWWからのユ−ザ登録のデ−タを取られたという話しが出てきた。 | 仮想IPアドレス | 128 Kbps ( 1.5 Mbps にアップを予定 ) ………… -------- | WWW | |Router| ( QoS 対応がこれからはいいかも ) ………… -------- | | ------*----------*---------*-------- パブリックアドレス(バリアセグメント) | | ------- メ−ルリレ− | | WWW | in.named 4.9.7 DNS1次 FireWall-1 ------- ------- sendmail 8.9.1 + SPAM 対策 VPN 対応 |Fire | | (IPアドレス変換)| |------*-------- プライベ−トアドレス ------- DMZ | ------*----------*--------------*--- プライベ−トアドレス | | -------- sendmail/Qpopper ------- 外向けWWWサ−バと RDBMS を連携させる | Mail | Apache |RDBMS| 場合。DMZ に置いてもいいが、 ここの方が -------- Virus Check ------- より安全である?。 顧客登録のデ−タなど 全社WWWサ−バ、Proxy サ−バ をデ−タベ−スに入れている。 [ Fire ホスト ] Sun Ultra 10 Model 440 を新たに購入する。ディスプレイは他のマシンのを使う。 キ− ボ−ドは付いてくる。ハ−ドディスク 9.1 GB、メインメモリは 256 MB。メモリは安くな ったので、どんと入れる。OSは黙っていると Solaris 2.7 が入ってくる。 ここでは安 定稼働の実績を重視し 2.6 を指定したい。 DMZ にするため PCI Ethernet カ−ドを追加。 カ−ドには 10/100 Base-T の口1つと SCSI または MII の口を持ったものなどある。と もかくイ−サネットの口が3つあればいい。全部で100万円ぐらい。本体自体は DOS/V マシンでディスクも IDE です。ディスプレイの注意。SPARCstation 5 のディスプレイの コネクタは合わないので、別途合うコネクタが必要である。Sun のパ−ツで 13W3 to VGA Adapter、530-2917-01 というもの。もう一つチェック、 ディスプレイのコネクタをマシ ンの稼働中に付け替えることができるか?。やって見ました、全然問題なしでした。いや 問題ありです。数分ならいいが、それ以上外しているとマシンがクラッシュする。 Sun のワ−クステ−ションのラインナップです。Ultra 5, 10, 60 シリ−ズが '98/01 か ら販売されている。`02/05 には値下げして、5 が26万円、10 が50万円、 60 は90 万円からとなっている。基本的には定価販売である、十分安い。98年より少し前に出た 450 は 60 より上位機種という位置付け、Ultra 5 は SPARCstation 5 の後継機と位置付 けになる。ディスプレイは必要なければ買わなくてもよくなった。 [ Mail ホスト ] とうとう SunOS 4.1.4 はお払い箱にする。Ultra 10 購入により空いた Fire ホストを充 てることにする。 そして InterScan VirusWall、FireWall-1 と連携するタイプでないの を導入し、メ−ルだけウィルスチェックを行うようにする。このソフトはメモリをすごく 食うという話で、メモリを 64 Mbyte 増設して 128 Mbyte にする。SPARCstation 5 用の 純正メモリはもうないのでサ−ドパ−ティ製品を購入する。当初ウィルスチェック・ソフ トはファイアウォ−ルかWWWホストに入れる考えだった。しかし今後、内部ネットで支 社等と繋げる可能性も考え、メ−ルサ−バのホストに入れる方がより安全と判断した。更 に欲張って、このマシンはイントラネットのWWWサ−バ、 そして Proxy サ−バにもし て外部へのアクセスの代表とする。これにより FireWall-1 の個々のマシンのオブジェク トの登録作業の手間を省く。WWWと Proxy サ−バは Apache でいいだろう。 sendmail はこれまでのものでよい。 POP3 サ−バはこの際 popper から Qpopper にする。 それに営業マンなど外でもメ−ルを見れるように、メ−ル転送の設定をWWW画面ででき るようにする。パスワ−ドの変更もできるようにする。cgi-bin プログラムはC言語で記 述し root に SetUID する。B-Shell のスクリプトを SetUID してもコマンドは root 権 限では働かない。Perl でも同じだろう。Apache の suEXEC という機能を使えば、別ユ− ザの権限で実行できるらしい。これもチェックしたい。 * Fire の Ultra 10 にはUPSをかました Ultra 10 購入に際しUPSも1つ買った。これで FireWall-1のマシンだけUPS制御し て、メ−ルとWWWのマシンは電源だけもらうようにした。マシンにはUPS制御ソフト をインスト−ルする。マシンとUPSは RS-232C接続して、停電時にUPSからマシンに シャットダウン信号を送る。UPSは BM1000-10FNDΠ、ソフトPOWERVISOR v3、約19万 円。UPSの仕様は、出力コンセント4個、RS-232C の口1個、接続機器の消費電力の合 計 1000VA/800W 以下のこと、縦置き、重量18Kg内バッテリユニット12Kg。 筐体 の下1/3がバッテリのユニット、バッテリ交換目安3〜5年、周囲温度25度。10度 上昇すると寿命は半分になると書いてあった。問い合わせhttp://www.gsee.co.jp/。交換 用バッテリは BX-10FDΠ 定価 47,250円税込み、2005年にネット調べで3万円程度。 さてそれから時が経って2005年の初夏のこと、 Ultra 10 のディスプレイの左上にだ いだい色で (hostG)間もなくバッテリの交換時期ですと出てきた。ずっと表示されている。 UPSにはアラ−ムランプはついてない。これは即、何か手を打たなければいけないかと 思ったがあわてることはなかった。UPSのバッテリの電池がもしなくなっても、停電し ない限りはUPSは電気を供給するという。 # /usr/ups/bin/upslog -ev をやると "Jun 2 14:00:30 firew upsd[396]: (hostG) Change battery" と出てきた。# upslog -ver と やると "BIROS-mini FND, BM1000FND, 電源容量 1KVA" などと仕様が出てきた。UPSを 制御しているデ−モンは、# ps -ef | grep ups をやると /usr/ups/bin/upsd と xupsの 2つが稼働しているのが見える。xups は警報表示プログラムである。 またまたそのままほかっておいたら、2005年初冬のこと。30秒間隔ぐらいでピッっ と Ultra 10 につないだモニタから音が出るようになった。モニタ左上には赤で (hostG) バッテリの使用期間が過ぎています、 それにモニタ Console 画面には "Dec 7 15:27:56 hostG upsd[407]: (hostG) battery out of warranty" と出てきた。 Ultra 10 マシンで ビ−プ音を消したらどうかと思ったが、やり方が分からなかった。モニタから音が出てい るようなので、モニタの調整でできないかと思ったがメニュ−がなかった。 それで xups デ−モンを kill したらモニタ左上の赤の表示がすっと消え、Console ヘの出力もなくな り、音もしなくなった。もうUPSの役目はしない訳で、UPSをかますのはやめないか ん。Ultra 10 のお役目は2005年末に終わります。ご苦労様でした。 * FireWall-1 Ver.4.1 での DMZ 構成ヘの変更 Ver.4.1 では fwui コマンドは無くなり、fwpolicyで全部設定するようになった。注意す べきは環境変数を LANG=C にすること。でないと FireWall-1 の表示がおかしくなるとい う。sendmail と sendmail.cf はWWWホストと内部のメ−ルサ−バのホスト、どちらも 何も変更することは無かった。hostB の /etc/hosts を変更した。 hostG の /etc/hosts と静的経路の設定も変更なし。DMZ と言うことで3っつのインタ−フェ−スを持つ。それ ぞれのIPアドレスでのオブジェクトを作成すること。これまで2つのインタ−フェ−ス でもそうした方がよかった。これまでは外側のインタ−フェ−スのオブジェクトしか作っ てなかった。内部ネットのホストから FireWall-1 のホストに telnet などでアクセスす るのに、外側のインタ−フェ−スに対しアクセスしていたことになる。イ−サネットのイ ンタ−フェ−ス名はマシンによって変わることにも注意されたい。 [ WWWホスト hostA の設定 ] /etc/defaultrouter /etc/resolv.conf ------------------ --------------------- |192.168.2.2 |domain nix.co.jj |nameserver 127.0.0.1 << 202.241.128.3 から変更した。 [ FireWall-1 ホストでの設定 ] -------- ………… |Router| |hostA'|仮想IPアドレス hostA,G,B は Solaris 2.6 -------- ………… | .1 | .3 ----*--------*-----------*------- 202.241.128.0 バリアセグメント | | ------- WWW,DNS,Mail-Relay .2 |hme0 |hostA| ------- ------- FireWall-1 |hostG|hme2 | .1 DMZ | |--------*-------- ------- ------- .2 192.168.2.0 |hostB| <--- /etc/hosts .2 |hme1 ------- ---------------------- | | .1 |#202.241.128.3 hostA -------------*------------------------------*------ |192.168.2.1 hostA 192.168.1.0 Mail-Store 注.`21/12 修正。hostB の /etc/hosts の 192.168.2.1 hostA は 202.241.128.3 hostA に戻すこと。修正前のままだと、hostB で .forward の設定をした際に、外からのメ −ルを外へ転送できない。 /etc/rc2.d/S99NAT hostA用 /etc/resolv.conf ----------------------------------------------------- ------------------------- |/usr/sbin/arp -s 202.241.128.3 00:05:04:a2:00:01 pub |domain nix.co.jj |/usr/sbin/route add host 202.241.128.3 192.168.2.1 |nameserver 202.241.128.3 ※00:05:04:a2:00:01 は FireWall-1 ホストの hme0 のMACアドレス。 FireWall-1 の fwpolicy で hostA オブジェクトの設定 --------------------------------------- ------------------------------------------- | Workstation Properties | | Workstation Properties | |--------- | | ------- | |General | Interfaces SNMP NAT VPN | | General Interfaces SNMP | NAT | VPN | | -----------------------------| |----------------------------- -------| | Name: hostA | | Values for Address Trabslation | | IP Address: 192.168.2.1 | |〆Add Automatic Address Translation Rules| | Location Type | | Translation Method: ▽Static | |○Internal ●External ●Host○Gateway| | Valid IP Address: 202.241.128.3 | | | | | Install On: @All | --------------------------------------- ------------------------------------------- ----------------------------------------------------------------------------------- | Check Point Policy Editor -- Fire0 | |---------------------------------------------------------------------------------| | File Edit View Manage Policy Window Help | |----------------------------- | | Security Policy - Standard | Address Translation - Standard | |---------------------------------------------------------------------------------| ||No.| Source | Destination | Service | Action |Track| Install On |Time|Comment|| ||---|--------|-------------|-----------|--------|-----|------------|----|-------|| || 1 | Any | Any | icmp-proto| accept | | Gateway | | || || | | | | | | | | | || || 7 | Any | Any | ident | reject |Short| Gateway | | || || 8 | Any | fire012 | Any | drop |Long | Gateway | | || || 9 | Any | Any | Any | drop |Short| Gateway | | || |---------------------------------------------------------------------------------| ----------------------------------------------------------------------------------- [fire0] オブジェクトの設定 ------------------------------------------ [fire1] オブジェクトは 192.168.1.2, | Workstation Properties | ●External, ●Host, NAT なし。 |----------------------------------------| | General | Interfaces SNMP NAT VPN ..| [fire2] オブジェクトは 192.168.2.2, | -------------------------------| ●External, ●Host, NAT なし。 | Name: fire0 | | IP Address: 202.241.128.2 | [fire012] オブジェクトは hme0,1,2 イ | Location Type | ンタ−フェ−スをオブジェクトとして作 | ●Internal ○External ○Host ●Gateway | った [fire0],[fire1],[fire2]をグル− | 〆VPN-1 & FireWall-1 Version:[4.1] | プにしたもの。 | 〆Management Station | ------------------------------------------ ------------------------------------------------------------------------- | | Interfaces | | |--------- --------------------------------------------------| | Name Address Network Mask Valid Address Spoof Tracking | |-----------------------------------------------------------------------| | hme0 202.241.128.2 255.255.255.0 Any None | | hme1 192.168.1.2 255.255.255.0 Any None | | hme2 192.168.2.2 255.255.255.0 DMZ-Net Alert | ------------------------------------------------------------------------- ・[DMZ-Net] というグル−プを作り有効な発信IPアドレスを定義する。それ以外のIP アドレスからの発信であれば、アンチスプ−フィングであり、IPアドレスの詐称とし て拒否する。有効なIPアドレスは Network Properties の [Net_192.168.2.0]、それ に Workstation Properties の [V_hostA] を、[DMZ-Net] グル−プに入れる。 ・[V_hostA] は 202.241.128.3, ●External, ●Host, NAT なし。 202.241.128.3は仮想 IPアドレスであることに注意したい。[Net_192.168.2.0] はIP Address 192.168.2.0, ●Internal, Broadcast ●Allowed, NAT なしである。 ・[V_hostA] を [DMZ-Net] に含めていないと、 内部ネットからは 192.168.2.1 に ping は通るが、202.241.128.3 へは通らないという現象が起きる。バリアセグメントのホス トからも、FireWall-1 ホストからも通らない。 このアンチスプ−フィングのことを忘 れていると、非常に分かりにくいトラブルに見える。 (3) 全体ネットワ−クの構成 `02/10 * ネットワ−ク構成図 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ \______________/インタ−ネット : : :128 Kbps : : ▼ Dialup, FireWall-1 SecuRemote Router□ | 東京など支店 ------------- □ WWW/DNS/Mail-Relay △△△ NetCache | | ||| Mail-Store □ □ ■------ DMZ △ △ 隣接 --------- | | |FireWall-1 | | 工場 | / ̄\ ---------------- 無線LAN ---------- □--|閉域|--□---| |--------□………………□--| Switch | |IP| |Layer-3 Switch| 3Km 位まで ---------- | | | Summit24 | | |--□---| |――――■―― 事務系ネットワ−クへ \_/ ---------------- SonicWALL | | Cobalt □ | | □ Cobalt 部門WWW/Samba/DHCP | | | | --------------- --------------- | | | | △ △ [ 本社 ] △ △ * ネットワ−ク構成の説明 [ 基幹ネットワ−ク ] 参考:7-5. VLANとレイヤ3スイッチ,(5)Summit24 の設定 レイヤ3スイッチを2台購入する。冗長構成はとらず、同じ設定にして1台は予備におい ておく。冗長構成は VRRP とかいうが、かえってネットワ−クの複雑さを増すだけである。 ここはシンプルに、壊れたらぱっと取り替えておしまい。機種は Extreme Networks 社の Summit24 を選んでみた。追加部品に 1000 BASE-TX のモジュ−ルを各1つ付ける。 これ で1台、約130万円。安い!。後ドキュメントも、これは1万円程度。なんと日本語の ちゃんとしたドキュメントがついてきた。これで、装置の設定はできる。さらにネットワ −ク管理用のソフトも1本欲しい。 ExtremeWare Enterprise Manager 120万円も買う ことにしよう。これでもはやHPの OpenView は必要ない。管理ソフトは Windows NT に 入れる。RS-232C 経由でVLANの設定してみた。半日でできた。騒音はあまりしないと 前に確認したはずだったのだが、3Com 並みにします。ファンの回る音がうるさいです。 メ−ルサ−バやファイアウォ−ルのサ−バ類は、レイヤ3スイッチのポ−トに直接つなぐ のがいいだろう。レイヤ3スイッチ導入以前はハブを一杯かます構成だった。障害切り分 けのポリシ−により、サ−バ類を1つのハブにまとめておくという考えもあるが。 [ 無線LANの設置 ] 参考:7-1.イ−サネットに無線LAN, (4)無線LANという選択 隣接する工場などは 3 Km までぐらいなら、無線LANがいける。11 Mbps 出る関西電機 ALJ-2412LNK がお勧めである。2台で約120万円。ブリッジ接続になる。ル−タ機能が ほしければ別に付けた方がいいだろう。相手無線LANの出口には SNMP 対応のスイッチ ングハブ、例えば Allied Teleris の CentreCOM 8224XL、29.8 万円をかます。これでブ リッジ接続による不要なパケットが、本社側に流れ込んで来ないようにする。無線LAN は遠隔地の利用だけでなく、ビル内でも有効である。最近のビルでは、防火壁で鉄板が建 屋間に入っている。ケ−ブルを通す工事はやっかいで百万円以上かかるとか。小生として は家屋内での安易な無線LANの使用は控えたいところだが、このように止むを得ない場 合もあるだろう。※ CentreCOM 8224XL、10/100 BASE-TX 24port,SNMP,VLAN,QoS,STP対応。 [ キャッシュサ−バの設置 ] 内部ネットのユ−ザの外部WWWアクセス用に、キャッシュサ−バを設ける。Squid の流 れから NetCache をとりあえず選んでみた。NetCache C1100、百万円もしない。設定は自 前でやるということで。他メ−カで同レベルの CacheFlowという製品もあったが、似たよ うなものだと思う。NetCache C1100 を目にした感想。 1Uサ−バなのだが奥行きがかな りある。こないだ買ったラックにぎりぎりなんとか入るという。ブリキの板むきだしのま まで、DOS/V Linux をキャッシュサ−バ用にチュ−ニングしただけという感じの製品であ る。設定は難しくはないということだが、マニュアルは英文しかない。さて、このキャッ シュサ−バ、HTTPS も対象にできたのかな。はい、できました。キャッシュサ−バ設置に ともない、FireWall-1 のル−ルベ−スも見直し、いろんなのを整理しないと。 しかし無 理に導入する必要はない。有効に使いこなすには、それ相応のノウハウがいる。 [ 部門ファイルサ−バの設置 ] できるだけネットワ−ク管理者の手間を減らすため、部門毎サ−バを積極的に導入したい。 例えばばかちょんサ−バ Cobalt をポッポッとそこら辺にばらまく。これで DHCP サ−バ により、パソコンの移動によるIPアドレスの付け直しなどの手間を省く。更にできれば IP Masquerade も利用し Cobalt からの代表アドレスとなるようにする。これによりファ イアウォ−ルへの個々のパソコンの登録作業を省くことができる。イントラネットへの利 用として、部門WWWサ−バともする。 コンテンツの入れ込みは Samba サ−バ経由で行 ない、そのセグメントの Windows パソコンのファイル保管場所ともする。 おお−、一石 三鳥てなもんだ。Cobalt はとりあえず Cobalt Qube2J の 64 MB モデル辺りか。 メイン メモリ32 MB では起動が遅い。できれば RAID 1 のミラ−リングでファイル保管の安全性 を高めたいところだが。バカチョンでミラ−までできる製品が見当たらない。 * Cobalt Qube3J の設置 `21/09 待っていたら適当な製品が出てきた。RAID 1、ソフトウェア制御によるミラ−リングがで きる Cobalt である。RAIDの設定なんか何もしなくてもやってくれる。手元において、し ばらくいろいろ試しているが、特に問題ない。ディスクのトラブル何かも起きていない。 Cobalt Qube3J Professional Edition。20.4 GBx2。約46万円。`21/01/26 発売。 それぞれの部門用のファイルサ−バとして設置するのと、部門間のファイル共有として設 置するのがある。どちらも必要なのだが、ここでは後者のサ−バとしてばかちょんサ−バ の Cobalt を設置することを考える。Cobalt の中でも、ミラ−リングができる Qube3 に する。皆の重要なデ−タや書類である、最低限としてミラ−程度のバックアップはいるだ ろう。ファイル共有の手段だが、WWWベ−スにするのと Sambaベ−スにするのとがある。 両方でもいいが。Samba ベ−スにするには、guest アカウントで誰でも読み書きできるよ うにし、Windows パソコンには、lmhosts ファイルに Cobalt のIPアドレスを書けば終 わりである。TCP/IP で Cobalt の Samba サ−バにアクセスしてくれる。これで、もちろ ん Cobalt のWWWサ−バにアクセスして共有するファイルを見ることもできるだろう。 WWWベ−スにする場合は、少しは体裁を整えるため、各部署で HTML を書いてもらわな いかん。従来だとそんな仕事は全部こちらがやるハメになったのだが、今年の四月ぐらい から風向きが変わった。政府主導でIT講習会なるものがそこらじゅうで開かれ、HTMLフ ァイルの作成が特殊な技術でなくなったのである。インタ−ネットのウェブアクセスから メ−ルの仕方にホ−ムペ−ジ作成までも教えてくれる。どうやら企業の中でも、講習会を やると政府から補助金が出るらしく、Word や Excel にインタ−ネットの使い方といった 講習会が開かれている。自宅でも回覧板や市の広報などで、テキスト代千円ぐらいだけで 講習は無料です、どんどん応募しましょうと回ってきたはずである。とりあえずは、各部 署の HTML ファイルの雛型を作ってあげて、後はそれぞれでやってもらうことにしよう。 (4) 事務系ネットワ−クとの接続 `21/02 * 生い立ちの違う人達との議論 情報システム系とか基幹系とも言われるネットワ−クとの相互接続をどうするか。やるこ とは明快単純。事務系の管理者が基幹系コンピュ−タを設置、保守している業者に依頼し て、接続ポイントにファイアウォ−ルを設置するだけのことである。それが、そう事は単 純に進まない。それぞれこれまで培ってきた手法や文化が違うのである。そしてインタ− ネットという新しいツ−ルに対する態度、インタ−ネット接続性のリスクの認識も違って いる。なかなか難しい議論を重ねることを覚悟しなければならない。まあ、それはその時 になって各自それぞれ悩んで頂くこととしよう。会社それぞれによって、事情はまた違っ てくるだろうし。ファイアウォ−ル二重化の議論は、すでに大企業では当り前になってい る。自動車会社なんかでは、部門ごとにファイアウォ−ルを設置しているという話も聞く。 特にホストコンピュ−タは、完全に守るためインタ−ネットとの接続性を無くして設置す る企業もあるとか。 ともかく、基幹系の人にホストコンピュ−タの業者も交えて、ファイアウォ−ルの二重化 の話をしなければならない。先ずは基礎的な知識として、彼等に幾つか尋ねる必要がある。 第一は、ホストコンピュ−タ自体のセキュリティ対策はどうなっているか。従来の SNAな ど専用プロトコルによる "ホスト<-->端末" のクロ−ズしたネットワ−クなら問題はない かも知れない。それが最近は TCP/IP ネットワ−ク対応にもなっている。さて、ホストコ ンピュ−タはどのような安全対策がなされたのか。ホストコンピュ−タ自体に容易に侵入 できないような対策が施されているのだろうか。次に、侵入されデ−タが全部消えてしま った場合のダメ−ジはどうか。バックアップがあって、直ちに復旧できるのか、生産にま で影響してしまうのか。これらの答えがあるかどうかも実のところは分からない。ともか くインタ−ネット接続した場合のリスクを彼等に説明し、理解してもらう。それは本書の 管理者の責任である。議論がどういうように展開しようともである。 * 検討事項 << ファイアウォ−ルの議論 >> ・ファイアウォ−ルは1つより2つの方が安全か? ・ホストコンピュ−タ自体の安全対策もできれば行う? ・ホストコンピュ−タを知った人がファイアウォ−ルを設置すべき? << 役割分担 >> ・セキュリティリスクの分担は? ・個々のパソコンの設定は? ・ファイアウォ−ルの設置は? << リスクは >> ・リスクは最悪の事態を想定すべき。起こる可能性のあることは起こる。 ・1〜2日で復旧できる --------------- パソコン/CADは概ね ・生産ストップ(出荷遅れ、信用下落)---- ホストコンピュ−タは? << インタ−ネットの危険性 >> ・毎日のように侵入、ホ−ムペ−ジ書き換え、ウィルスの記事。 ・多くは、セキュリティ意識の欠如のため起こっている。 ・インタ−ネットと接続性を持てば、常に侵入の可能性あり。 << そして判断 >> ・リスクを上回るメリットがあるか。 ・つなぐかつながないかは、それぞれの会社の考え方次第。 ・他の会社の事例は参考にならない。 * 接続プラン 技術系と事務系の接続点にファイアウォ−ルを設置する。これによりファイアウォ−ルA での作業において、ポカミスをした場合の事務系コンピュ−タへの侵入を食い止める。市 販品のファイアウォ−ルはその機能を信頼するとすれば、後は設定者のポカミスによる侵 入しかないと考える。生産停止に結び付く可能性のあるホストコンピュ−タへの侵入は何 としても許してはならない。ファイアウォ−ルBではNAT機能を働かせ、事務系のパソ コンからの HTTP アクセスなどは、ファイアウォ−ルBからの代表アクセスとする。これ により技術系ファイアウォ−ルのル−ル設定をシンプルにできる。信頼性も増すと考えら れる。それにNATによるIPアドレス変換は、それぞれのネットワ−クを独自にメンテ ンスできることも意味する。基本的にそれぞれのネットワ−クのIPアドレスがどのよう になっていても、影響し合わない。 □ WWW □ Router ・侵入の可能性はポカミス。 | | ・ネットワ−ク管理の独立性。 ------------------- ・インタ−ネット接続管理の容易性。 |FireWall-1 □ファイアウォ−ルA | ホストコンピュ−タ 技術系 ----------------------- ------- | | | |SonicWALL | | △ △ △ □ファイアウォ−ルB ------- | | ----------------------------- 事務系 | | | TCP/IP △ △ △ ファイアウォ−ルBには SonicWALL という、 ボックス型のファイアウォ−ルをとりあえ ず選んでみた。似たような製品で WatchGuard Firebox というのもある。別にどちらでも 構わない。技術系管理者の手数をできるだけ減らすことも考慮し、簡単に設定できるファ イアウォ−ルにしてみた。これらは、どちらかというとごく小規模なネットワ−ク向けの 製品だが、いけると思う。ロ−カル・ル−タでフィルタリングの設定を手作業でするより は安全かと思う。FireWall-1 を入れた箱の NOKIA を使う手もあるが、少々値段が張るこ とになる。SonicWALL は安価ながら FireWall-1 と同じステ−トフル・パケット・インス ペクション方式を採用している。仮想IPアドレスに1対1のNAT機能をサポ−トして いるので、技術系から事務系サ−バへのアクセスも可能なはずである。 事務系のコンピュ−タの数が50以下なら、SonicWALL SOHO/50 辺りでどうか。30万円、 次年度以降の保守は4万円。50以上なら SonicWALL DMZ 無制限、 42万円で保守費用 が 6.4 万円である。保守は複数年分の契約もできる。 コンテンツフィルタとかVPNと かの機能は、ここでは不要である。DMZ の3番目のイ−サネット・インタ−フェ−スも使 うことはないだろう。設定はWebブラウザでできる。最新ファ−ムウェアを1ボタンで ダウンロ−ドできるとか。その他注意点は、安い製品だけにサポ−トは期待しない方がい いだろう。そんな話も聞いている。自分で設定することになる。先のホスト系の業者によ れば、こんなファイアウォ−ル製品の設定でも、製品価格を上回る設定費を提示してきた のには驚きである。 (5) 部門用ファイアウォ−ルの設置 `21/06 * SonicWALL Pro はどうかな SonicWALL は SOHO のインタ−ネット接続のためバカチョン・ファイアウォ−ルとして便 利なように作られている。そのため、内部の部門用ファイアウォ−ルとして設定するのは、 少し手間がかかる。どちらかというと NetScreen 辺りの方が、 内部に設置するファイア ウォ−ルとしてはいいのかも知れない。SonicWALL と値段もそう変わらないし。しかし小 生 NetScreen の箱、現物を見たのがちょっと遅かった。 SonicWALL についてはいろいろ 信頼性が不安だとか、サポ−トが期待できないとか噂を耳にする。よく壊れるという話も 聞いてしまった。小生は、だいじょうぶ使えると思っている。台数が一番出ているので不 具合もそれに伴い多いのは当然である。サポ−トに関しても、 FireWall-1 だって受けた ことがない。これまでだってEWSのサポ−トでも、期待して受けたことはない。ほんの 話し相手になってもらうだけである。相談相手ではないです。 壊れやすいというのは SonicWALL の幾つかあるタイプの一つでないのか。SonicWALL Pro をしばらく試しているが特に問題はない。SonicWALL Pro は DMZ、65万円、無制限ライ センス。ハ−ドウェア年間保守 10.8 万円、1年分はついている。故障したら新しいのを すぐ送ってくる。交換して、故障したのはメ−カに返却する。修理してまた送り返してく るということはしない。マニュアルは日本語マニュアルが2冊ついてくる、それぞれ90 ペ−ジ程度。これならそこそこ自前で設定できそうである。英文マニュアルもある。付属 品は 180 cm のクロスケ−ブル(赤)とストレ−トケ−ブル(黒)が各1本。購入したら、住 友金属システムソリュ−ソンズへのユ−ザ登録と、米 SonicWALL社へのWWWを使ったユ −ザ登録 http://www.mysonicwall.com/ をすること。 何と住友金属システムへユ−ザ登 録しようとしたら事務所を移転して、FAX番号が変わっていた。 参考記事がちょっとあった:「UNIX MAGAZINE」2001/01, P.12〜23, "SonicWall SOHO10" * SonicWALL をテスト的に設定してみる PC の 192.168.1.6 から SonicWALL の LAN 側にある Cobalt にアクセスできるようにし てみる。"パブリックLANサ−バ" という機能を使う。アクセスするには SonicWALL のWAN 側のIPアドレスを指定し、http://192.168.1.8/ とする。これだと SonicWALL のLAN側 にあるホストは1つのサ−ビス対し1台しかアクセスの対象にできない。複数のホストに 外からアクセスするには、別に用意されている [1対1NAT] の機能を用いる。 SonicWALL の管理画面へのアクセス。SonicWALL はそのままでは内側、つまり LAN側から しか管理用WWW画面にアクセスできない。 外側、つまり WAN 側からアクセスするには、 VPNクライアントとしてアクセスする必要がある。 そのためには Windows パソコンに 専用のソフトを入れ、手動鍵による IPsec の設定をする。 そして http://192.9.201.1/ と、SonicWALL の内側IPアドレスにアクセスする。 日本語マニュアルの80ペ−ジに "公開サ−バの設置を前提とするネットワ−ク構成の場 合「SonicWALL DMZ」のように専用ポ−トを有した製品をおすすめします"と書かれている。 それに「UNIX MAGAZINE」2001/01, P.21 にも、SonicWALLの記事で内部ネットのサ−バを NAT で公開サ−バとするのは、セキュリティ的にやめた方がいいとある。公開サ−バは内 部ネットではなく、DMZ に置くのが安全である。 | Proxy □ □ FireWall-1 □ □ PC SonicWALL は工場出荷時のIP |.1 |.2 |.5 |.6 アドレスが 192.168.168.168に ------------------------------------ 192.168.1.0 なっている。設定するには、先 Mail-Store |.8 ずこのIPアドレスにアクセス □ SonicWALL するしかない。 |.1 ------------------------------------ 192.9.201.0 |.3 |.2 | □ Cobalt □ Cisco2514 □ ここから SonicWALL を管理する WWW |.1 ------------------------ 192.9.202.0 ------------------------------------------------------- |http://192.9.201.1/management.html |------------------------------------------------------ |SONICWALL |一般 ______________ | 一般 |ステ−タス |ネットワ−ク| 時間 パスワ−ド | ログ |------------ ------------------- |フィルタ |ネットワ−ク アドレッシング モ−ド |ツ−ル | [ NAT 有効 ▽] |アクセス |LAN 設定 |詳細設定 | SonicWALL Web アドレス [ 192.9.201.1 ] | DHCP | LAN サブネット マスク [ 255.255.255.0 ] | VPN |WAN/DMZ 設定 |ハイアベイ| WAN ル−タアドレス [ 192.168.1.2 ] |ラビリティ| SonicWALL WAN IP(NATパブリック)アドレス [ 192.168.1.8 ] | |WAN/DMZ サブネットマスク [ 255.255.255.0 ] | | | |その他の設定 | | DNS サ−バ1 [ 0.0.0.0 ] << ログをホスト名で記録する程度で使 |ログアウト| | う。特に設定の必要なし。 ※ WAN ル−タアドレス がデフォルトル−トのことである。 |------------------------------------------------------ | |ステ−タス |ネットワ−ク 時間 パスワ−ド | | -------------------------------- | |SonicWALL シリアル番号 xxxxx | |ファ−ムウェア バ−ジョン 5.1.1 | |CPU: Strong ARM/233 MHz(PRO) | |RAM:8M | | | |------------------------------------------------------ | |ステ−タス ネットワ−ク| 時間 |パスワ−ド | |------------------------- ------------ | | [ Japan,Korea(GMT+9:00) ▽] |-------------------------------------------------------------- |詳細設定 _________ |プロキシリレ− イントラネット | ル−タ| DMZアドレス 1対1NAT |-------------------------------- ----------------------- |現在のネットワ−ク設定 | Web IPアドレス サブネット | LAN 192.9.201.1 255.255.255.0 | WAN/DMZ 192.168.1.8 255.255.255.0 | |スタティックル−タ | 相手先ネットワ−ク サブネットマスク | ル−ル追加 [ 192.9.202.0 ] [ 255.255.255.0 ] << 内側のネットワ−クに合わ | ゲ−トウェイ リンク せて静的経路を追加する。 | [ 192.9.201.2 ] [ LAN ▽] |-------------------------------------------------------------- |プロキシリレ− | イントラネット | ル−タ DMZアドレス 1対1NAT |---------------- ------------------------------ |○SonicWALL の WAN リンクは、直接インタ−ネットル−タに接続 |○指定アドレス範囲を LAN リンクに接続 |●指定アドレス範囲を WAN リンクに接続 | 開始アドレス 終了アドレス | 範囲追加 [ 192.168.1.6 ] [ 192.168.1.6 ] << 外側のホストのIPアドレスを指定。 SonicWALL の内側にあるホストにアクセスできる、外側のホストを指定する。つまり この例では 192.9.201.3 の Cobalt に、 192.168.1.6 のホストだけアクセスできる ということである。さらに下記の設定により HTTP, Telnet, Ping だけが許されるこ とになる。 メ−ルサ−バのホスト[ 192.168.1.1 ] もここに追加すること。これがないと内側ホ ストからメ−ルサ−バにアクセスできない。分かりにくい設定項目だ!。これは内側 から SonicWALL の WAN側、FireWall-1 間にあるホストに、アクセスできるIPアド レスも意味する。SonicWALL でのデフォルトゲ−トウェイ 192.168.1.2 は入れない。 |-------------------------------------------------------------- |プロキシリレ− | イントラネット ル−タ DMZアドレス 1対1NAT | ----------------------------------------------- |自動的にプロキシ−を転送(Webのみ) << この機能はありがたい。80/TCPパケ | プロキシ−サ−バアドレス [ 192.168.1.5 ] ットを指定IPアドレスに振り向け | プロキシ−サ−バポ−ト [ 80 ] る。プロキシサ−バのIPアドスを かえたら、ここだけいじれば済む。 |-------------------------------------------------------------- |アクセス |--------- |サ−ビス| サ−ビス追加 ル−ル ユ−ザ 管理 | ------------------------------------------------------ |ネットワ−ク アクセス ル−ル(サ−ビスによる) | LANアウト DNZイン パブリックLANサ−バ | Web(HTTP) 〆 〆 [ 192.9.201.3 ] チェックした所が内側 | File Transfer(FTP) 〆 □ [ 0.0.0.0 ] から外側へ許可すると | Send Email(SMTP) 〆 □ [ 0.0.0.0 ] いうこと。 | Retrieve Email(POP3) 〆 □ [ 0.0.0.0 ] | Name Service(DNS) 〆 □ [ 0.0.0.0 ] パブリックLAN サ−バ | News(NNTP) □ □ [ 0.0.0.0 ] は外から内へのWWW, | Ping 〆 〆 [ 192.9.201.3 ] ping,telnet アクセス | Key Exchnage(IKE) □ □ [ 0.0.0.0 ] が 192.9.201.3にでき | Telnet 〆 〆 [ 192.9.201.3 ] るよということ。 | デフォルト 〆 □ | Telnet は[サ−ビス追 |Windowsネットワ−ク(NetBIOS)ブロ−ドキャスト パススル− 加] で追加した。ル− | □LANからDMZへ □LANからWANへ ルにも自動で追加され、 |ステルスモ−ド □ステルスモ−ドを有効 すぐ有効になる。 | | |-------------------------------------------------------- |サ−ビス サ−ビス追加 | ル−ル | ユ−ザ 管理 |------------------------ ------------------------ |現在のネットワ−クアクセスル−ル 編集:細かくル−ルを | #動作 サ−ビス 元 先 時間 日付 有効 ↓ 設定したければ。 | 1. 許可 Telnet * 192.9.201.3(LAN) 〆 @§ | 2. 許可 Ping * 192.9.201.3(LAN) 〆 @§←削除 | 3. 許可 Web(HTTP) * 192.9.201.3(LAN) 〆 @§ | 4. 許可 デフォルト WAN DMZ 〆 @§ | 5. 許可 デフォルト DMZ WAN 〆 @§ | 6. 禁止 デフォルト * LAN 〆 @§ | 7. 許可 デフォルト LAN * 〆 @§ 最初の状態はル−ル4から7の分だけだった。ここでは DMZ は使ってない。 ル−ル そのものを消しておいた方がいいだろう。何度か設定し直したりしていたら、ル−ル 4が禁止になっていた。ここのル−ル設定だけでなく、どうも勝手に設定が変わるよ うな気がする。設定したはずが、設定されていなかったりもするし。 |-------------------------------------------------------------- |サ−ビス サ−ビス追加 ル−ル ユ−ザ | 管理 | |------------------------------------------- ------------- |管理方法 管理 [ LAN インタ−フェ−スから ▽] 注.SonicWALL を設定する際は Netscape などWWWブラウザで、プロキシは使わないよ うにする。直接接続すること。LAN ポ−トとハブはストレ−トケ−ブルを使うこと。 * SonicWALL の動作を確認してみた `25/02 [ 1対1NATについて ] 実際、部門用ファイアウォ−ルとして SonicWALLを設置し運用してきた。その部門にある サ−バに SonicWALLの WAN 側、 社内ネットワ−クのホストからアクセスしたいという話 が出てきた。それで "1対1NAT" を設定してみたが、できない。 装置を初期化してやれば できるようになるのでないのか、でも稼働している装置をそうそう、そんなことはできな い。それで懇意にしているプロバイダさんから、今時の SonicWALLを借りてテストしてみ た。工場出荷時のIPアドレスは 192.168.168.168 のままだった。 メニュ−画面は見て くれがよくなっていたが、内容的には前のと似たようなものだった。ものの10分で設定 できた。気付いたこと、"パブリックLANサ−バ" の文字が見当たらなかった、"1対1 NAT" はあった。それで IP1.3 と IP2.3 での "1対1 NAT" を設定した。さらに [ファイアウォ −ル]の[アクセスル−ル] で送信元 WAN から 送信先 IP1.3 へ Any を許可した。これだ け設定しただけである。Proxy ARP とか、パソコンの PC で何か特に設定したとかはない。 もう一つイントラネットの設定で IP2.2を指定した、これ効いているのどうかよく分から ないが。 アクセス △ PC ------------> □ 仮想IP TZ 170 Standard, SonicOS Standard 3 |.2 |.3 系列。10ノ−ド版 98,000 円。ファイ ---------------------------------- IP2 アウォ−ルスル−プット 90 Mbps。無制 .1|WAN ↑ 限ユ−ザ・ライセンス版は32万円。 SonicWALL □ |1対1NAT TZ 170 .1|LAN | TZ 170 用 SonicOS Enhancedアップグレ ---------------------------------- IP1 −ドライセンスは 105,000円。しかしこ |.2 |.3 れで、今回のことが解決できるわけでは △ 管理用 □ サ−バ なさそうである。 << PC から IP2.3 へアクセスできるか >> WAN | Pr | Pu | Pr | Pu Pr : Private IP Address, Pu : Public IP Address。 LAN | Pu | Pu | Pr | Pr これはインタ−ネットで取り決めになっている本当の -----|----|----|----|---- プライベ−ト、パブッリクのIPアドレスである。セ 結果| × | ○ | × | ○ グメントのIPアドレスを変えてテストしてみた。 ※ IP1.2 パソコンからサ−バへのアクセスは IP1.3 へはできるが、IP2.3 へはできない。 こんな結果になった。ひょっとしてIPアドレスをインタ−ネットのパブリック、プライ ベ−トを装置が判断しているのでないか。そう思ってやってみたらそうだった。マニュア ルにはどこにもそんなこと書いてない。テストし終わった後、丸紅ソリュ−ション(株)の http://www.msol.co.jp/it/sonic/qa/、SonicWALL のQ&Aでこんな記載があるのを見つ けた。"1対1NATを設定したのですが、通信できません。パブリックアドレスで使用される IPアドレスは有効なグロ−バルIPアドレスである必要がある"。 [ 経路制御について ] : インタ−ネットへ ホスト a はル−タAへデフォルト経路。 ------------- ル−タAは IP1.1 へデフォルト経路。 | ホスト b はル−タBへデフォルト経路。 □ FireWall-1 ル−タBは IP1.1 へデフォルト経路。 | SonicWALL は IPA と IPB へ静的経路。 -------------------------------- IP2 WAN|.1 これは稼働中の SonicWALLで、LAN 側にセグ c△ □ SonicWALL Pro メントを追加して起こった問題である。ホス | LAN|.1 トa,b はデフォルト経路を辿ってインタ−ネ -------------------------------- IP1 ットにアクセスできる。しかしどうもホスト |.2 |.3 a,b 間ではアクセスできない。c から a,bは a△ □ル−タA b△ □ル−タB どうやらアクセスできるみたい。どうもこの | | | | SonicWALL では、パケットの経路制御がまと ----------- IPA ------------ IPB もにできないのでないか。そう考える他ない。 こんな記載があった。丸紅ソリュ−ション(株)のQ&Aに、"SonicWALL では LAN 側に複 数のセグメント管理が可能か。ファ−ムウェア 6.1.2.0Jよりネットワ−ク設定にて、NAT を使用する場合は可能である"。ここでの SonicWALL はこれより昔なのは間違いない。 * SonicWALL 久しぶりに触ったら壊れてた `27/12 装置に http://xxx.xxx.xxx.xxx とはアクセスできた。2006年ぐらいに触ってみてお かしいなと思って、ほかっていた。2007年のいつだったかネットワ−クのテストに使 えないかともう一度、電源を入れてアクセスしてみた。しかし前の時と同じように、画面 が下のようなのが出てダメだった。ファ−ムウェアが壊れていた。ひょっとするとファ− ムウェアをインスト−ルしなおせば直るということか。 NetScreen-50 は社内ネットワ− ク用のル−タとして最近、役に立たせる場面がでてきて出払ってしまった。Cobalt Qube3 をそこに先に設置していたのだが、NAT機能というかル−ティング機能というかどうも 動作がおかしいので、NetScreen-50 をNATモ−ドにして置き換えたのだ。 これまでは SonicWALL も NetScreen-50 もテスト用として手元においていた。SonicWALL 直るものな ら直しておきたい。やはりいろいろネットワ−クの確認のため、あった方が都合がいい。 The current firmware file appears to be corrupted. Please select a firmware file:[ ][参照] と出た。 http://xxx.xxx.xxx.xxx にアクセス、買った時に入っていた SonicWALL の CD-ROM をパ ソコンにセットして、ファ−ムウェアらしきものを選択して upload してみた。やはりダ メぽ、まくるしかない。今どきパソコンやこうした物は中国に行くのだそうだ。業者がキ ロ10円だったか100円で買ってくれるらしい。ちょっと前までは捨てるのは手続きも めんどくさいものがあったし、お金もかかった。まあ有難い話である。