ネーム・サーバーが利用するポートは53番と決まっています。 そのため, ネーム・サーバーを 2つ立ち上げるには, IP アドレスが 2つ必要です。 例えば私のマシン「asao.gcd.org」の場合, 210.145.125.162 と 192.168.1.1 の 2つの IP アドレスを持っています。 前者はインターネット全体で唯一のアドレスであるグローバル・アドレス, 後者はサイト内部のみで使用可能なプライベート・アドレスです。
210.145.125.162 のポート 53番へアクセスすれば, 外向けネーム・サーバーが応答し, 192.168.1.1 のポート 53番へアクセスすれば, 内向けネーム・サーバーが応答するように, それぞれのネーム・サーバーを設定します。
このような場合, 一般の解説書では NIC(Network Interface Card)を 2枚差して 片方にグローバル・アドレスを割り当て, もう片方にプライベート・アドレスを割り当てると説明してあります。 つまり図2のような構成です。
|
|
| 図2 NICを2枚使ったゲートウエイの構成例 |
| ネットワークをセグメント分けする必要がありますので, 家庭内 LAN のような環境だと無駄が多く, その割にセキュリティが向上するわけではありません。 |
もちろんこのような構成でも問題無いのですが, なぜ NIC が2枚も必要なのでしょうか。 Linux など多くの OS で1つの NIC に複数の IPアドレスを割り当てられます。 つまり図3のような構成にすることも可能です。 内部 LAN の各マシンと外部との直接通信は一切できないように ルーターにフィルタリングの設定をします。
|
| 図3 NIC1枚だけでゲートウエイを構成 |
| LANのトラフィックは多少増えますが, 家庭で使用する程度のマシン数であれば問題ありません。 |
図2と図3の構成は, セキュリティ上は五十歩百歩です。 つまりゲートウエイが侵入されれば内部 LAN が危険にさらされます。 NIC を 2枚入れたことによるアドバンテージは, 全く無いと言っても過言ではないでしょう。
強いて言えば, 図3の LAN では, グローバル・アドレスあてとプライベート・アドレスあての 両方のパケットが流れますから, トラフィックが倍になります。 マシンが何十台もつながっていれば問題になるかも知れませんが, 家庭内 LAN ではせいぜい数台のマシンしかつながないでしょうから, 全く問題はありません。
図2の LAN だと, 内部 LAN につないでいたマシンにグローバル・アドレスを割り当てようとしたとき, バリア・セグメントにマシンを接続し直す必要が生じますが, 図3の LAN だとマシンの IP アドレスを変更するだけで済みます。
家庭内 LAN では, ケーブルの引き回しにいろいろと制約がある場合が多いので*4, ケーブルのつなぎ直しの必要がない図3の構成の方が圧倒的に便利と言えるでしょう。
本稿は日経Linux 2000 年 6 月号に掲載された、 実践で学ぶ、一歩進んだサーバ構築・運用術, 第 3 回「ネームサーバ (後編)」を日経BP 社の許可を得て転載したものです。
Copyright(C)2000 by 仙石浩明 <sengoku@gcd.org>
無断転載を禁じます