Atom
LinuxManiaで堅牢なシステムを構築する その2
Step 2.ルーターを用意
外部にインターネット公開する場合は、以下の機能をみたすルーターが必要です。
- 固定IP を指定できる
- IPマスカレード ポートフォワーディング機能がある
- ファイヤウォールなどセキュリティ設定ができる。
3についてはピンキリです。高価なルーターを求めると何十万円するのもありますが、ほとんどのお客様にとっては必要ないでしょう。ヤマハのRT58iクラスで十分と考えます。それより低価ルータでも可能です。
「IPマスカレード ポートフォワーディング」とは、インターネットからはグローバルIPアドレスをもったルータへとアクセスされますが、そのリクエストをWebサーバのプライベートIPアドレスへと転送して処理をさせる方式です。参考 NAT と IPマスカレード(ポートフォワーディング)
たとえば、HTTPであればポートは80が使われます。ポート80に来たHTTPリクエストはプライベートなLANにあるWebサーバへと転送し、そこで稼働しているWebぺージが表示されるという仕組みになります。ポートとプライベートIPが一対になります。
3のセキュリティについては、ファイヤウォールなどでリクエストの入と出に対して、細かく設定することができますが、TELNET、SSHなど攻撃されやすいサービスを立ち上げない、HTTPやSMTPなど最低限のプロトコルしかうけつけない、という最低限の設定だけで攻撃はふせげます。
これこそが自社でマシンを持つ利点でもあります。なぜならレンタルサーバなどでは、リモート操作のために吹きさらしの無防備な場所で仕事をする必要が出てきます。秘密鍵認証など、どんどん作業が複雑化していきますが、これはリモート操作をやらざるを得ないことが根本の問題です。
しかし、自社でマシンがあれば、SSHも必要なく、FTPですら必要ないのです!メモリキーでサーバのアップ作業もできるわけですから、ルータはIPマスカレードだけを最低限設定すればいいのです。
「LinuxManiaで堅牢なシステムを構築する その1」で話しましたように、ルータはSingle Failure Pointになります。サーバの多重化で気を使う人はいますが、実は「ルータがこければみなこける」ということが盲点になっている人は多いのです。
ルータのSFPを避けるには同等のルータをもう一つ用意しておくことです。ルータがおかしくなればバックアップルータへ切り替えます。光回線を二重に引いていればもういっぽうの回線にルータをそなえつけ、いつでも切り替えられる用意だけしておけば万全です。
次回はルータでの具体的なIPマスカレード設定方法を説明させていただきたいと思います。
コメント (0)