実践で学ぶ、一歩進んだサーバ構築・運用術

第 3 回 ネームサーバ (後編)


1台のマシンに2つのネーム・サーバーを立ち上げる

ネーム・サーバーが利用するポートは53番と決まっています。 そのため, ネーム・サーバーを 2つ立ち上げるには, IP アドレスが 2つ必要です。 例えば私のマシン「asao.gcd.org」の場合, 210.145.125.162 と 192.168.1.1 の 2つの IP アドレスを持っています。 前者はインターネット全体で唯一のアドレスであるグローバル・アドレス, 後者はサイト内部のみで使用可能なプライベート・アドレスです。

210.145.125.162 のポート 53番へアクセスすれば, 外向けネーム・サーバーが応答し, 192.168.1.1 のポート 53番へアクセスすれば, 内向けネーム・サーバーが応答するように, それぞれのネーム・サーバーを設定します。

このような場合, 一般の解説書では NIC(Network Interface Card)を 2枚差して 片方にグローバル・アドレスを割り当て, もう片方にプライベート・アドレスを割り当てると説明してあります。 つまり図2のような構成です。

NICを2枚使ったゲートウエイの構成例
図2 NICを2枚使ったゲートウエイの構成例
ネットワークをセグメント分けする必要がありますので, 家庭内 LAN のような環境だと無駄が多く, その割にセキュリティが向上するわけではありません。

もちろんこのような構成でも問題無いのですが, なぜ NIC が2枚も必要なのでしょうか。 Linux など多くの OS で1つの NIC に複数の IPアドレスを割り当てられます。 つまり図3のような構成にすることも可能です。 内部 LAN の各マシンと外部との直接通信は一切できないように ルーターにフィルタリングの設定をします。

NIC1枚だけでゲートウエイを構成
図3 NIC1枚だけでゲートウエイを構成
LANのトラフィックは多少増えますが, 家庭で使用する程度のマシン数であれば問題ありません。

図2と図3の構成は, セキュリティ上は五十歩百歩です。 つまりゲートウエイが侵入されれば内部 LAN が危険にさらされます。 NIC を 2枚入れたことによるアドバンテージは, 全く無いと言っても過言ではないでしょう。

強いて言えば, 図3の LAN では, グローバル・アドレスあてとプライベート・アドレスあての 両方のパケットが流れますから, トラフィックが倍になります。 マシンが何十台もつながっていれば問題になるかも知れませんが, 家庭内 LAN ではせいぜい数台のマシンしかつながないでしょうから, 全く問題はありません。

図2の LAN だと, 内部 LAN につないでいたマシンにグローバル・アドレスを割り当てようとしたとき, バリア・セグメントにマシンを接続し直す必要が生じますが, 図3の LAN だとマシンの IP アドレスを変更するだけで済みます。

家庭内 LAN では, ケーブルの引き回しにいろいろと制約がある場合が多いので*4, ケーブルのつなぎ直しの必要がない図3の構成の方が圧倒的に便利と言えるでしょう。

*4
内部LANとバリア・セグメントの2系統のケーブルを 部屋中に張り巡らすのは,かなり大変でしょうね。

(犠牲パーティション)


banner 本稿は日経Linux 2000 年 6 月号に掲載された、 実践で学ぶ、一歩進んだサーバ構築・運用術, 第 3 回「ネームサーバ (後編)」を日経BP 社の許可を得て転載したものです。

Copyright(C)2000 by 仙石浩明 <sengoku@gcd.org>
無断転載を禁じます

| home | up |

sengoku@gcd.org