1read 100read
2013年07月通信技術159: サーバ構築明日のために (189)
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▼
IETF 2ch対策会議 〜横浜に向けて (190)
【Gsky】gs−27の話題はこちらで【Gs-27】 (143)
−俺たちゃデジタル土方−NE集合! (107)
どのぐらい英語ができればいいのかな? (103)
YAMAHA業務向けルーター運用構築スレッドPart2 (348)
NEC UNIVERGE IX2000/IX3000 運用構築スレ Part7 (124)
サーバ構築明日のために
1 :2000/12/08 〜 最終レス :2013/03/13 会社にmail,wwwサーバをたてる事になり、構築の計画・実施から運用管理の全てを任されて しまいました(面子5人程度で全員構築経験なし・・・)。とりあえず今時のPCを2台買って Linux(ただ今勉強中)を入れて、 Internet--[ルータ]----[PC 1]---- 社内LAN | [PC 2] って構成にしようと考えているんですが(PC 1でファイアウォール)、上記の場合 DNS、MTA、MUA、www の2台のマシンへの機能割り振り(?)は、負荷、セキュリティの観点から普通どのように振り 分けるのが効果的なのでしょうか?どうかお教え下さいませ。 OCNエコノミーでメールアカウントは100前後、wwwはとりあえずHP公開程度で考えてます。
2 : う・・・、図がずれた。 [PC 2]は[PC 1]の枝にするつもりです。
3 : Linuxで今時のPCなら1台で十分。 セキュリティを考えるなら、DMZを作ってそこにWebサーバを置く。
4 : >>3 どうもです。DMZという事は、PC1から伸びた、枝のネットワーク上のにWebのマシンを置くと いう事ですね?それとも、 [ルータ]-------[PC 1]--[社内LAN] | [PC 2] みたいにしろという事でしょか? 構築本を2、3冊読んでみたのですが、どうもこの辺りの基本構成に関する事情が分か らずに困っています。(上記の構成の場合や、PC1にNIC3枚指す場合の長所短所とか・・・) #単に本の選び方が悪い
5 : 1さんではないのですが、今度、DMZなしで外部公開のWeb/Mail/DNS を立てるのですが、大丈夫なのかなー。
6 : >4 成り行きで管理者になっちゃった場合、 ルータの代わりにDMZポート付きのファイアウォールを買った方が 絶対にいいと思う。 >5 設定をしっかりすれば普通は問題ないと思う。
7 : >PC1にNIC3枚 ?? なんじゃそりゃん。。 インターネット ↓ ルータ ------インターネットセグメント-------- ↓ WEBサーバ・DNS ↓ PROXY・MAILGATE(ファイアーウォール) ----以下イントラ----- ↓ メールサーバ(含むPOP) 3台は欲しいな。。 んでもってWEBサーバは 内部のイントラマシンからNETBEUIで同期させるってのが 定番じゃないでしょーか
8 : >3さん ありがとうございました。 ところで... [インターネット] | [ルータA]----[ファイアウォールA」-----------------外側セグメント | | | | DNS/MAIL Web | LAN側 *-------------------- ファイアウォールAを新規に導入する際、ルータAには新規に LAN側のデフォルトゲートウェイを新規FireWallとして 設定する必要がありますよね?
9 : おれも6さんに賛成。サーバもアプライアンスでいいんじゃない。 以前、SONICWALLってやつをためしたけど、結構十分な機能があった。 ネットワーク構築が趣味なら試行錯誤もかまわんが、 片手間で素人で業務使用だったら、 多少融通きかなくても構築保守ともに手間がかからない方法をとるのが懸命だ。
10 : >>9 完全に同意。 特にセキュリティ関連はなるべく外部の製品・サービスを利用するよう考慮する べきでしょう。 セキュリティホールは日々増えていきますが、それに管理者のほうでも日々対応 していくのは大変だと思います。さらにセキュリティホールを衝かれて業務に 支障がでたら大変ですよね(下手をすれば減給、首)。 保険料と思って導入した方がよいと思います。
11 : 当初、Webやmail等は外部委託、またはレンタルサーバで良いのではないかと考えて提案 した事はあったんですが却下され、紆余曲折(上司の意地の張り合いに巻き込まれたとも 言う)の末 1.自社で構築運用 2.Linux の2つが最早動かせない前提となり、今に至っています。私自身こうなったら機会を利用 してネットワークのノウハウを身につけてやろうかなと思っています。まあ嫌いじゃないんで。 セキュリティをつつかれて業務に支障が出た場合の責任は上司がとってくれる事になってい ます。(以前話題になった) ちなみに会社は弱小ですけど業務系専門アプリ屋です。誰もネットワークに精通していないの が情けないんですけどね・・・。
12 : >>9-10 完全に同意 もし。上司を説得するねたがないのであればBUGTRAQ にでてくる セキュリティ脆弱性のねたを毎週報告するという嫌がらせを実施 することをお勧めします。 笑い事じゃない。
13 : 皆さんご忠告ありがとうございます。でも、とりあえずやるしかない 状況なので、色々調べています。 現在一応決定しているのは、 Linux・・・redhat6.2J DNS ・・・BIND Web ・・・Apache MTA ・・・qmail と言うところです。sendmailはやめとけと聞いたのでqmailにしたんです が、他はどうなんでしょうか?(定番を選んだつもりですけど・・・) あと、セキュリティにはipchainsとかsoketとかTISFWTKとか色々あるみ たいですけど何がいいんでしょうか?全部使えとか?
14 : どーしてもやらなきゃならないなら、まずはルータの設定を しっかり勉強した方がいいと思う。 あと、サーバの方は qpopperとか入れる必要あるよね。
15 : >>13 > 他はどうなんでしょうか? これでいいでしょうね。何を選択してもバグ情報との追いかけっこになるだけ ですから、むしろバグ情報が入手しやすい実装を選択するべきでしょう。 BIND は当然最新版 (8.2.2-P7)、Apache も 1.3.14 にしておきましょう。 Apache は余計なモジュールは一切入れないように。./configure --help で 何を削ることが出来るか考えましょう。 あとは、>>14 で述べられているように、ルータの設定を重点的にやりましょう。 ルータをいかに適切に設定するかで、その後のセキュリティ確保のためにかかる コストがまったく違ってきます。 ・必要なトラフィック以外は全て捨てるデフォルト拒否ポリシー (ping のパケット (ICMP Echo*) も捨てる) ・余計な機能は全て停止 (Web による設定機能、Telnet による設定機能、SNMP による管理機能) ※きちんと理解してセキュリティを確保しつつ利用できるだけのスキルが ついてから、これらの機能は使うべきです。 # Source Routing 等も同様。よく分からない機能は、すべて Off にするべし。 それで支障がでたら、はじめて有効にしましょう。 あと情報収集を怠らないようにしましょう。IPA の以下のサイトと Firewall Defenders を 定期的かつ頻繁に見ておけばたいていの情報は入手できると思います。 - IPA セキュリティページ http://www.ipa.go.jp/security/ - Firewall Defenders http://www.firewall.gr.jp/ では健闘を祈ります。
16 : >>9 >あとは、>>14 で述べられているように、ルータの設定を重点的にやりましょう。 >ルータをいかに適切に設定するかで、その後のセキュリティ確保のためにかかる >コストがまったく違ってきます。 「業務上最低限必要なトラフィック以外は通さない」という原則を いかに全社的意識として教育するか・出来るかというのでそのあと にかかるコストが違ってくると思います。 そういう認識を経営層まで認識させることが出来てセキュリティ ポリシーとして明文化できれば、あとはそれを憲法として運用すれ ばいいだけなので、政治的努力を払うことも必要なのかな、と思う 今日この頃。 がんばってください。
17 : >>9 じゃない >>15 だ Five さんスマソ 鬱だし脳
18 : >>1 OCNエコノミーで運用するつもりなら、クラスレス逆引きの概念とかOCN でのそれの実装方法とかも勉強しておきましょう。 巷にあるBINDのサンプル(大抵クラスCで解説)通りにやると痛い目にあいます。 MTAにqmailならPOPはqmapopとかもお勧め。apopやPOP before smtp対応だし POP専用アカウントも自在に作れる。 ついでにBINDもやめてdjbdnsにしてしまうのもアリ。実装が小さければそれだけ バグの確率が減るというもの。
19 : >>14 >>15 > あとは、>>14 で述べられているように、ルータの設定を重点的にやりましょう。 なるほど「クサいものは元から絶て」と言う事ですね。全体の見通しも良くなりそうですし。 早速勉強していこうと思います。 ルータはヤマハの安いヤツ(2年前に購入したらしいがまだ良く見ていない)が1つあるん ですけど、もしNATやIPマスカレード等の機能がなければ新しいのを買う必要があるんでしょう か?今の自分の認識は、 [ルータ]------[PC1]------[社内LAN] | [PC2] とある場合、[PC1]でIPマスカレードをかけてやれば、[ルータ]から[PC1]まではグローバルIP で良い・・というかルータでIPを変換する意味があまりないのではないか?と言う認識なん ですが(もちろ
20 : 途中で切れてしまった・・・。最後の部分を再掲します。 とある場合、[PC1]でIPマスカレードをかけてやれば、[ルータ]から[PC1]まではグローバルIP で良い・・というかルータでIPを変換する意味があまりないのではないか?と言う認識なん ですが(もちろんルータでパケットフィルタは行うとして)、間違っていたらご指摘下さい。
21 : >>16 > そういう認識を経営層まで認識させることが出来てセキュリティ > ポリシーとして明文化できれば、あとはそれを憲法として運用すれ > ばいいだけなので、政治的努力を払うことも必要なのかな、と思う > 今日この頃。 運用の方法やルール(勿論セキュリティも含め)は時間をかけて、ドキュメント化して いく方針になっています。しかし何しろ構築バージン(?)なため、運用しつつ手探りで 修正して行く様になるのかなとは思っていますが・・・。 少し話はずれますが、サーバ構築、運用手順書ってコマンドレベルで書くものなのでしょうか? 今、構築チーム内で意見が分かれているところです。ちなみに自分は「あえてコマンドレベルでは 書かない方が良い」派なんですが・・・。 #ここで言う「コマンドレベル」は「誰もが知っているはず」のUNIXコマンド(ls,vi,tar等)の事です。
22 : >>17 > OCNエコノミーで運用するつもりなら、クラスレス逆引きの概念とかOCN > でのそれの実装方法とかも勉強しておきましょう。 自分が購入した構築本に、OCNエコノミー使用時の実例が載っていてDNSの設定例もある ので、それを参照してみようと思います。 実はまだISPは選定中(OCNエコノミーは有力候補ですが)で、最近話題のADSLやCATV等の 検討も行っています。実際に使用している方々のアドバイスなんか頂けるとありがたいです。
23 : >>21 > コマンドレベルで書くものなのでしょうか? http://mentai.2ch.net/test/read.cgi?bbs=network&key=974554775&ls=50 の 52 以降にそれに関する書き込みがあります。結論だけ言えば、意図と 手段の両方を記録しておく必要がある、となります。実際の書き方や理由に ついては上記スレッドをご覧ください。 >>22 > 実際に使用している方々のアドバイス ISP はいつ廃業したり方針転換(最近 CATV 大手の Jcom がやったみたいに) するか分かりません。だから、ISP のアドレス構成や機能に依存しないような 設定・機能の定義・実装をこころがける必要があります。 各論についてはここで聞いてもらえるとよいでしょう。
24 : >>19 > もしNATやIPマスカレード等の機能がなければ新しいのを買う必要がある YAMAHA であれば初代 RT100i から当該機能が備わっているのでその心配は ありませんが、仮になかったとしても買い替えが必要かどうか、間に PC を おいてそこで NAT/IP Masq. をするかどうかは、直ちに決まるものでは ありません。 NAT/IP Masq. は IP 資源(アドレスおよびポート番号)を消費します。 仮にクライアントが 10 万台あるような環境があったとしたら、NAT/IP Masq. は 現実的な解決策ではないでしょう。そういうところでは、Proxy Server を設置し そこ経由で外部へのアクセスを許すのが基本になるはずです。 そしてクライアントの台数が 10 台であっても、「ポリシーとして」上記のような Proxy 経由でのアクセスのみ許可という風にすることは可能ですし、それもまた 現実的な解です。実際にそのようにしているところは少なくありません。 こうする理由としては、 ・セキュリティ上の理由: 不明なトラフィックの通過を拒否する。事前に管理者によって認識され、 外部との通信を必要とするトラフィック以外は外部へ出さない。 NAT/IP Masq. の場合、無差別にパケットのアドレス情報を変換するので、 意図しないトラフィックが発生し、ネットワーク資源を浪費させたり、 セキュリティ上の問題を引き起こしたりする可能性がある。 ・アカウンティング(記録)上の理由 誰がどのようなサイトにアクセスしているかとか、その頻度はどのくらいで どれだけのデータをやり取りしているかを記録し、将来の計画や予想のために 役立てる。 といったものがあります。
25 : 自分も、小さいところならともかく、ある程度の規模になって、セキュリティや コストパフォーマンス、状況の把握と制御といった管理的側面にも重きをおく 必要があるような事例では、NAT/IP Masq. については理由を説明して推奨しない という風に説明するようにしています。 あと、1 で述べられていたような「PC1 でファイアーウォール」という発想は あまり正確ではないです。外部ルータと PC1/2 でどうやってセキュリティ ポリシーを満足させるような構成と設定を実現するか、という風にテーマを 変えて考えてみてください。ファイアーウォールというのは、上記検討の 結果として機能が定義され実装された外部ルータ・PC1/2 の集合体という ように理解してください。 # Firewall というのは、マシンでもソフトでもありません。一連のシステム です。マシンとソフトがそれぞれ一つというときもあるし、複数のマシンと 複数のソフトが複雑に連携する場合もあります。いずれであっても、 ・セキュリティポリシーを実装したものである ・ハード・ソフト・設定からなるシステムである という条件を満たす限り、それは Firewall です。
26 : >>24 様々な貴重なコメント、大変参考になります。 > NAT/IP Masq. の場合、無差別にパケットのアドレス情報を変換するので、 > 意図しないトラフィックが発生し、ネットワーク資源を浪費させたり、 > セキュリティ上の問題を引き起こしたりする可能性がある。 この部分がよく理解出来なかったのですが、これは「外→内(社内LAN)」のトラフィック にトラブルが起こり得るという事でしょうか?(>>19 の[PC1]でIP Masq.の場合) 具体例がどうしても思い浮かばなかったので良ければご教授下さい。 確かに[PC1]にproxyを入れておけば、おっしゃっる様に内から外への使用状況が掴めて何か と使えそうだと思いました。 今回のサーバ構築管理の仕事は、どうしても本業との両立にならざるを得ないので、管理しやすさ (シンプルさ)とセキュリティの最大公約数的な構成を模索しています。(かつ自社構築管理 でLinux限定・・・すげえ我侭な要求ですが(笑 )早速proxy(squid)←→ipchains のトレード オフ(?)を検討してみようと思います。 #今日「Linux版クラッカー迎撃完全ガイド /インプレス」なる本を買ってきて読み始めたところです。
27 : ほんとにNATを通したいパケットとそうでないパケットの区別が各々の アプリケーションの仕組みを熟知してないと大変というという意味も あると思う。 その点アプリケーションゲートウェイ方式の方がやっぱりお手軽なのは 間違いないと思う。ログもばしっと残るしね。 で、通常の業務と並列でやるんなら、TISのFWTKあたりでさくっと構築 した方が楽じゃないかなぁ、とさっきインストールして思った。 ネットゲーやりたくてSOCKS5も入れたのは秘密。
28 : >>27 > その点アプリケーションゲートウェイ方式の方がやっぱりお手軽なのは > 間違いないと思う。 これは意外でした。Five氏が>>15 で紹介してくださったFirewall Defendersにも そのような趣旨のドキュメントがありました。 安直に考えて下位のレイヤーを制御する方が、インターフェイスは無骨ながらも理屈 は単純なんだろうななんて思っていたもので・・・。やはり実際にインストールして いじり倒すのが速いんでしょうね。
29 : [ルータ]------[PC1]------[社内LAN] | [PC2] この場合、ルータに、外部からくる社内LAN向けのパケットを全て ファイアウォールである「PC1」に向ける必要がありますよね? スタティックルートを設定する必要があるのでしょうか?
30 : 社外から来る社内向けのパケットを通過させる理由はあまりないと思いますが・・。 普通は PC1/2 が Proxy だの何だのになっていて、それ以上の通過を拒絶するの ではないかと思います。 仮に通過させる必要があるのなら、ルータ上で PC1 を NextHop とする静的経路を 定義する必要があります。
31 : >>26 ICQ だの IRC だの PointCast だの、管理者が想定していないトラフィックの通過を 拒絶するためです。>>27 さんの回答がまさに的確です。 トラブル起きたときの原因特定・解決の困難さを比較すれば、明らかに 容易: Proxy (Squid) <<<< NAT : 困難 になるでしょう。
32 : 内定決まった会社がASPしてるんだけど、 全く私は初心者です。 営業に回されるんかな? 一応SE採用なんだけど。 何を心がけると良いですか?
33 : あげー!
34 : あげとけ
35 : すいません。上司が「日経なんとか」という雑誌で読んだということで ファイルサーバー1台だけをファイアウォールの内側に設置して、 クライアントを全部DMZ(?)に置けっていう命令が出てます。 意味不明です。このファイルサーバー上にドキュメントを置いて 運用しなければならないんですが、運用例とか参考になるページとか ヒントになる情報とか何でもいいですから紹介していただければ幸いです。
36 : >>35 ネタ?(ワラ
37 : 日経見たならこれを見よ。 http://www.gcd.org/sengoku/theme.ja.html
38 : >>36 マジです。 クライアントはグローバルIPです。 外部よりも内部からの攻撃を防ぐのだという 謎の説明を受けています。 >>37 これ見せてみます...
39 : >>37 そののページを見せたところ、 「そんなの知ってる、でもそれじゃあLANの 内側からの不正アクセスを防げないだろ」 と言われました。めまいがします。 繰り返しますが、クライアントはグローバルIPもってて サーバだけローカルアドレス振るそうです。
40 : >38 >外部よりも内部からの攻撃を防ぐのだという それは凡人には無理じゃ、業者に頼め。
41 : よくよく考えると、その上司の言ってる事は変だよ。 まず、その上司を消せ!
42 : 上司は社内 Firewall のことを言っているつもりなのだろうか? サーバーのみのセグメント作って、そこの出入り口になる部分に Firewall おけば 上司も安心するんじゃないの?
43 : なるほどー大変だな〜 認証とアクセス権ですむのにわざわざF/Wかぁ
44 : >>43 それだけじゃダメだ。セ○ムに頼んで24時間監視の指紋認証じゃないと入れない サーバ部屋をつくるのだ!
45 : >>42 違います。「ヒドンサーバー」などと呼んでいます。 上司は国立出で他の分野では学位もあるのに(涙)。 殿の乱心ってこういうことじゃないのって感じ。
46 : 会社とかの組織で、クライアントPC全てにグローバルアドレスって、 今では反社会的な行為ということになってます。 ずっと昔からインターネット利用しててクラスBを割り当てられていた会社が、 グローバルアドレスで運用していた社内LANをプライベートアドレスに移行 ってもを結構やってたりしたはずです。 IPアドレス枯渇問題への対応のためにJPNICへのIPアドレス返還って ことを、他の会社は一生懸命コストをかけてやってきたわけです。 あなたの会社がそれなりの規模があるなら、全クライアントPCをグローバル アドレスで運用するなんて、絶対不可能だと思いますよ。
47 : クライアントPCにグローバルアドレスを振ったら反社会的ってすごいな。(笑) ちなみに、うちの会社は一部上場でここの板のひとならほとんどの人 が知っていると思うけど、全マシングローバルアドレスだけど。
48 : >>46 HPとかIBMとかクラスA持ってるとこはどうなんだ? 全部グローバルでも出来そうな気が 話がずれてるんで sage つつ
49 : >>46 ってめちゃくちゃあたまわるそう。 すべてのマシンに必要な分のグローバルIPアドレスは必ずもらえます。 もらえないと思い込んでいたり、申請ができない頭悪い人が多いのは事実ですが、 実際にはちゃんと申請すればもらえるし、そうすべきです。 問題なのは、>>46 のように、正当な行為を反社会的というような人。 Internetの健全な発展のために、そういう人には消えてもらいたい。
50 : > すべてのマシンに必要な分のグローバルIPアドレスは必ずもらえます。 ウソ書いてはイカン 最近はIPv4アドレスはISPにたくさん金払って、HSDでたくさんNTTに金払った所にしか必要なだけくれません。 IPアドレスはJPNIC会員の「利権」だからね(ワラ まぁ、オレ的にはさっさとIPv4枯渇してIPv6になればいいって思ってるからど〜でもいいけど
51 : IPv4 アドレスばんばん使って、アドレス枯渇させて IPv6 への移行を促進しよう!
52 : >正当な行為を反社会的というような 反社会的と呼ばれる行為は往々にして「正当」な行為なんだよ。 やって良い事と出来る事は違うって事。
53 : >>46 振るんじゃなくって、もともと振ってあるサイトなんです。 サイネットの下流に古くからあるとこ。 で、根っこの構成を勝手にいじれないんで正規の位置に ファイアーウォールを置けない、けど、なんとしても 置かせたいらしく(絶対必要と刷り込まれている)、 無理やりサーバーの前に置くって状況です。
54 : 便乗質問です。 DMZを作りたいのですがFWにNICが3枚刺せないので IPエイリアシングでLAN側とDMZ側を同一NICで 運用したいのですが、問題ありますでしょうか。
55 : >>54 unix Magazine 3月号の pp.110 にある、「なんちゃってDMZ」と同じ 構成になりますね。 物理配線として DMZ = LAN となるので、(論理的?)DMZに置くマシンを 乗っ取られた場合、(論理的?)LANにあるマシンを護る手段がないように 思えます。
56 : VLAN 対応スイッチなら多少はセキュアにできるかも・・・という感じですね。 もしダムハブの場合には、多分こんないけない想像をしてしまうかもしれません。 ・"DMZ" 上のホストに不正侵入。root を奪おう。 ・LAN I/F を Promiscous Mode にして、ルータ宛てのトラフィックを覗き見よう。 ・telnet でも http でもいいから、ルータへのアクセス内容をキャプチャしよう。 ・その中にパスワードがないか調べよう。 ・ルータのパスワードが分かったら、ルータに設定変更コマンドを (telnet でも http でも) 送りつけて、フィルタを無効にしよう。 ・あとはやり放題だー。 ほかにもいろいろできますね。 こうならないようにしましょう。
57 : >>54 IP aliasingよりも、IEEE802.1Qをしゃべらせたほうがよいです。 あとは、IEEE802.1Qを理解するEther SwitchがあればDMZを物理的に 分離することができます。
58 : ありがとうございました。 個人レベルなんで、 DMZ機能付きのブロードバンドルーターの ほうが安全そうですね。 57さんの言うSwitchもDMZポート付きのブロードバンドルーターも 高そうですし。
59 : >>58 vlan切ればいいだけやん そのへんのPCにBSDいれればすぐに802.1qしゃべるぞ
60 : あ、いま思いついたんですけど、 FWマシンにNIC3枚刺せないので NIC2枚+COMポートってのはどうでしょうか。 COMポートをDMZにすれば速度的にも 自分が利用するわけではないので問題ないかと。 セキュリティー的にはどうでしょう。 素人っぽい質問でスミマセン。
61 : PCをつかってるならFreeBSDでも使えばvlan使えるよ。 NICが足りないときは重宝する。
62 : QUAD なPCI NIC ってLinux/FreeBSD で使えないんだっけ?
63 : 製造中止になったけど、Adaptec (旧 Cogent) の Quad FE PIC NIC は FreeBSD の実績があったね。最近のは分からんなあ。 基本的には上に乗っているチップ次第。Cogent のは DEC 2114x だったから 動いたみたい。
64 : あげ
65 : PC UNIXで鯖立てさせられることになっちゃった とりあえずDNSとwwwだけ動かせばいいんだけど UNIX系OSさわったことなし 鯖管経験なし とりあえず自宅PCにりぬくすインストしてみたけど 最近打ったコマンド man find man httpd man reboot man shutdown 終わってるよね ヽ(´ー`)ノ 12日には回線が来るんだけど あっ今度man tarしてみなくちゃヽ(´ー`)ノ
66 : manだけで10日終わらすつもりかい 本はねーのか?
67 : 買いましたよ〜 「できるLinuxサーバー」とか「Linuxスターターコレクション」とか… やっとvi少し使えるようになったよヽ(´ー`)ノ DNSをやってみたいけど 自宅は固定IPでもないしドメイン名もないし…
68 : おいおい、鯖立てるならLinuxじゃなくてBSD使えよ‥
69 : あっやっぱりそうなのか…φ(.. )メモメモ FreeBSDとかOpenBSDとかいろいろあるけど、どう違うんだろ? ネットの情報流し読みした限りではOpenBSDが良さげだけど…
70 : 日記代わりに(ぉ 最近打ち込んだコマンド:man mv man cp man ps vi inetd.conf ps -aux|grep inetd kill -HUP ****
71 : FTP鯖(ProFTPD)を立ち上げようとしたら、 ***.***.ne.jp - Fatal: unable to determine IP address of '***.***.ne.jp'って言われちゃった。。(T_T) ちなみに自宅の回線はグローバルIPを動的にもらってます。。。
72 : 結局ネームサーバ入れないと何もできない?? DNSだけは今はどうしようもないから直IPで FTP鯖とかのテストをしてみたいんだけど。。
73 : DNSでなんとかすることもできるけど、とりあえず /etc/hosts にシコシコ書いて急場をしのげ
74 : DMZ=非武装領域、つまり侵入されても仕方がない区域の意なので、 DMZ=LANの構成は安価かもしれないですけど安全性にものすごく問題がありますよね。 とりあえずwwwサーバを的として立ち上げて、 アタックのログを証拠にしてもう少しまともな構成に してくれるように上司を説得するのはどうでしょう?(笑
75 : うーん。。 いまだにDNSとかのことがよくわかってない。。。 ネットの知識が限りなくゼロに近い鯖缶って ヽ(´ー`)ノ それにしても、うちらがやろうとしてることってどれくらい 無謀なんだろ。。安全性に問題があるのはわかるけど、 たとえば田舎の平和な農村で鍵をかけずに家を空けるぐらいの ことなのか、アメリカのスラムでR首丸出しで歩く(ぉ ぐらいの ことなのか… なにも知らない自分からみても危なそうな所が結構ある感じだし。 とりあえずtelnetとかrloginは使わないでsshにする、 デーモン系ソフトを最新版にする、ぐらいはした方がいいのかな。。 付け焼き刃の知識だけど。。
76 : FreeBSDもためしにインストしてみたけど、難しすぎ(>_<) VineLinuxはメチャ楽だったけど… 具体的にBSDのいいとこって何だろ? いっそ2000Proに Apache for WIN32とかBIND for NTを入れて 運用しようかとも思う今日この頃。。
77 : 68は単なるFreeBSDヲタだから、額面通り受取るなって(w 最近ならFreeBSDよりLinuxの方が色々情報多いし、Vineだったら設定も結構簡単だしな >うちらがやろうとしてることってどれくらい >無謀なんだろ マターリと暮らしてた所に、中国人のピッキング盗がやってきて「最近物騒だねぇ、鍵も変えなきゃね」って言ってる程度(w
78 : お兄さん的にはOpenBSDにしとけ! でも、まあーLinuxでもなんでもサービス全部 ふさげ関係ないじゃん(藁
79 : あげ
80 : あっ上がってる(笑) えっと、回線は来たけど、フレッツADSL一本(IPいっこ)だけ… (うちらは超弱小ベンチャーなので…) とりあえず古い機械一台をなんとかLinuxでルータにして 新しい機械をサーバ専用に…できるかな…(謎) とりあえず、家でいろいろbindとかProFTPDとかApacheとかの 最新版を落としておこっと。 bindは8.2.3とかと、9とかがあるけど、どう違うんだろ??
81 : やったぁっ! http://www.coyotelinux.com/ ここのサイトを参考にして、古いPCをフロッピー起動Linuxルータに できたぞっ! しかも最近話題のADSLだし ♪ うれしすぎ…(ToT)ウルウル でももうこんな時間(汗 ふぅ…って一息ついてみると、メッセンジャーがやっぱし使えない。 何番ポート使ってるんだろ。 次は何をすればいいのかな? まぁとりあえず休もうっと。ふぅー
82 : って、このスレのログを改めて見たら、すごく意味が分かるように なってる(^-^) 最初は何を言ってるんだろ…って感じだったけど。 DMZかぁ…NICは三枚差せるから、ルータマシンからそれぞれ 外、公開用サーバ、内部LANって感じにしたらOKかな?? 一つのPCにNIC三枚なんて差したことないから不安だけど。。
83 : >>74 さん やっと意味が分かるようになりました、アドバイスありがとう ございますm(_ _)m
84 : FreeBSDのいいところは ・ディストリビューションが基本的に一系統 ・ports/packages かな?
85 : >>84 ports は make install 一発でソースを持ってきてコンパイルして インストールもやってくれて使えるようになるってのが気持ちいいね。
86 : C= (−。- ) フゥッ 結局、固定IPがもらえるのはいろいろあって4月以降になるみたい。 とゆーわけで、レンサバしか選択肢がなくなって、ちょっと(^。^;)ホッ! でも後から移行するから、それに備えて勉強しとかなくちゃ。 えーと、とりあえず外からwwwだけ見れるようにできるかどうか、 ipmasqadm portfw -a -P tcp -L ***.***.***.*** 80 -R 192.168.0.* っていうふうに設定してみたけど、見れない…(内側から。帰ってから 外からも見てみるけど) 引数の意味とかもわかってないし… まあ時間ができたから、ゆっくり勉強していこっと ヽ(´ー`)ノ
87 : うーんやっぱりMSNメッセンジャーはそのままじゃ使えない… ファイアウォールの内側からでも接続できると書いてあるけど。。 それなりに勉強してるんだけど、追いつかないよ〜
88 : プロプライエタリなプロトコル使ってるアプリは仕方ねーよ それまでに力を付けておくべし 応援age
89 : MSNメッセンジャーはsocks使えるじゃん
90 : がんばれage
91 : どうもいろいろお世話になりました>ALL けっきょくレンタルサーバでやることになったので、これまで 勉強してきたことは今この時点では「ムダ」になってしまった わけですが(笑)、DMZ、IPマスカレード、SOCKS、DNS (てきとうに並べてる?)など、それまで全くわからなかったことが 少しですがわかるようになったので良かったと思っています。 これからも勉強を続けていきますね。 じゃあ、次の「明日のために」の人お願いします(笑)
92 : 65さんおもしろすぎ。超爆笑。あ、でも私も似たようなレベルなので、 いっしょにがんばりましょう。 でもこのスレ、結構実在するケーススタディって感じで参考になります。 んで質問があるのですが、>>57 >>58 とかで出てきた、 DMZポートつきスイッチ、DMZポートつきブローバンドルータって 普通のスイッチングハブとかとどう違うの? いちおう DMZ の単語の意味は 理解しているつもりです。 あと具体的な製品名(のURL)とかをあげていただければ、そのページ見て 勉強します。よろしくお願いします。
93 : ちょいと失礼
94 : 打てば響く、というこの板の性格をあらわしてるような スレッドですねー。 だれかサーバたてたい人いませんかねぇ。
95 : >>65 俺は逆にレンタルサーバの質の悪さに呆れて 専用線+自社サーバを考えているところだよ(´ー`) 前はOCN+NTserverでやってたんだけどね 今度はADSL+Linuxにしようと思ってるよ 経費がどれだけ確保してもらえるか不安だけど。
96 : >>96 もう検討されていると思いますが、ハウジングじゃ駄目なんですかね? まぁトラブル時にハウジングしている場所まで走るのは嫌ですが
97 : >>96 ハウジングも結構な値段するでしょ? 格安ハウジングにしたのがそもそも間違っていたんだろうけど もうちょっとまともなサービスを提供してよって感じ
98 : >>96 そうですね。必要とする帯域によっては回線引いて自社運用のほうが 安くつきますよね。
99 : あげ
100read 1read 1read 100read TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
クソネットワーク機材会社決定戦 (180)
NE御用達・機器/ツール関連スレッド (193)
【無線LAN】DD-WRT【強化ファーム】8 (730)
ISPのDNSのキャッシュ書き換え時間について (126)
日本テレコムは表記が長すぎると思いますです (136)
VPNが通るルータないですか (106)
--log9.info------------------
カタカナだとダサいのに英語だと良い馬名 (204)
一人ぽっちの引退式】うすびぃ【元住人は来るな! (469)
競馬場の芝に映される画像について (112)
ほんの一瞬クラシック候補に名乗りをあげた馬 (297)
佐藤哲三ってそんないいか? (208)
6/30 巴マミ賞(U・G3) (164)
馬名にしても特に違和感なさそうな日本語 (318)
■オリエンタルアートの2012【1億8000万】■ (123)
スペシャルウィーク産駒応援スレ127 (116)
オルフェーブルよ、私たちの世代に勝てるかな?8 (146)
▼とるに足らないニュースの為のスレッド550▼ (181)
武豊と横山典弘はどっちがより天才なの? (248)
中央のみで10勝以上している馬で100を目指すスレ (194)
フェノーメノ part3 (277)
フェノーメノとは一体なんだったんだろうか・・・ (411)
上半期G1のベストレースとクソレースは? (108)
--log55.com------------------
【年賀状】今年で年賀状は終わりにする? 「終活年賀状」に賛否の声
【安いニッポン】日本の実質賃金「一人負け」状態 日本は確実に貧しくなっている テレ朝
【福岡】公園に88歳母、自宅に70歳娘の遺体 無理心中か 福岡・西区
【安いニッポン】「年収1400万円は低所得」 失われた30年、日本は給料が低い国に…人材流出、高まるリスク ★3
街の洋菓子店からホールケーキが消える?若手が来ず人手不足、「甘くない」働き方改革
【元次官長男殺害】「家族って、いるだけで安心してしまう」…「呪われた体」に悩み生きてきた長男を殺害 きょう午後3時判決 ★2
【容貌障害】「ブス」で差別されるいわれはない 作家・山崎ナオコーラさん
武蔵小杉の停電タワマン、事故物件扱いで成約困難…住民が川崎市に賠償要求「損害を被った分、被害弁償してもらわないと」★5