実践で学ぶ、一歩進んだサーバ構築・運用術

第 3 回 ネームサーバ (後編)


2タイプのネーム・サーバー

先月号では, ネーム・サーバーの2つのタイプ, 「サーバー専業型ネーム・サーバー」と 「クライアント型ネーム・サーバー」について解説しました。 サーバー専業型ネーム・サーバーとは, 自分が知らないドメインに関する問い合わせに対しては, 「ルート・サーバーに聞け」と冷たく言い放つタイプ, クライアント型ネーム・サーバーとは, 自分が知らないドメインに関する問い合わせに対しても自ら調べてくれるタイプです。

先月号の結論をまとめると,

の2つのネーム・サーバーを立ち上げよ, ということになります。

マシンを何台も24時間稼働させておけるサイトならば, 外向けネーム・サーバーを外部からアクセス可能なマシンで立ち上げ, 内向けネーム・サーバーを外部からアクセスできないマシンで立ち上げれば 良いでしょう。 例えば, 図1のようにルーターを2台用意してバリア・セグメントを構成します。

バリア・セグメントの構成例
図1 バリア・セグメントの構成例
内部 LAN 上のマシンとインターネットとの間の通信は 要さいマシンを経由してだけ行います。 犠牲マシンは各種サーバーを立ち上げるためのものです。

要さいマシンは絶対に侵入されないように防備を固め, ごく一部の限られたサーバー・ソフトのみを立ち上げます。 例えば, 外部あるいはバリア・セグメント*上のマシンと, 内部 LAN 上のマシンとの間の通信を中継するためのプロキシだけに サービスを限定するなどが考えられます。

内側のルーターは, 要さいマシンと内部 LAN との間の通信以外はすべて遮断するように設定します。 つまりインターネットから内部 LAN にアクセスするには, 一度要さいマシンを経由しなければなりません。

犠牲マシンは, 要さいマシンに比べれば防備が緩やかなマシンで, 外向けの各種サービスを行うサーバーを立ち上げるためのものです。 外向けネーム・サーバーのほか, Web サーバーやメール・サーバーなどを立ち上げます。 犠牲マシンから内部 LAN への通信はルーターで遮断されるので, 万一犠牲マシンが侵入されても, 被害が内部LANに及ぶのを防ぐことができます。

犠牲マシンを外向けのサービスごとに設置できればそれが理想ですが, 個人でインターネットに接続する場合, 何台もマシンを動かしておくわけにはいかないのが現状でしょう。 第一, 電気代が馬鹿になりませんし, 狭い家だとマシンを設置している部屋で寝ることになるわけで, 騒音も無視できません。

そこで本稿では, 1台のマシンで外向けネーム・サーバーと, 内向けネーム・サーバーを立ち上げる方法を説明します。 連載第1回で紹介したように, GCD のゲートウエイはマシン1台だけで, しかも NIC は1枚しかありません。 このゲートウエイで GCD の内部向けと 外部向けのネーム・サーバーを立ち上げています。

【バリア・セグメント】
外部にサービスを提供しつつ, 安全に LAN をインターネットに接続するために, LAN とインターネットの間に設けられたネットワーク・セグメントのことです。 境界ネットワークなどとも呼ばれます。

(1台のマシンに2つのネーム・サーバーを立ち上げる)


本稿は日経Linux 2000 年 6 月号に掲載された、 実践で学ぶ、一歩進んだサーバ構築・運用術, 第 3 回「ネームサーバ (後編)」を日経BP 社の許可を得て転載したものです。

Copyright(C)2000 by 仙石浩明 <sengoku@gcd.org>
無断転載を禁じます

| home | up |

sengoku@gcd.org