II-9-5. インターネット接続の設定方法

インターネットにサービスを提供するために必要な知識、行うべき作業と設定方法を解説する。ドメインとIPアドレスの取得、インターネットに接続するための設定、信頼性とセキュリティを確保するための運用管理方法などについて説明する。

【学習の要点】

* 独自のLinuxサーバをインターネットに接続してサービスを行う場合、ドメインおよびグローバルIPを取得しておく必要がある。

* インターネットへ接続したサーバを公開するためには、取得したドメイン名を外部ネットワークで管理しているDNSサーバへ登録する必要がある。また、外部ネットワークとの通信を行うためにはDNSサーバの設定を行い、ドメイン情報を取得できるようにする。

* インターネットへ接続する方法としては、モデムとサーバを直接接続する方法と、モデムとサーバをファイアウォールを介して接続する方法がある。モデムとサーバを直接接続する場合、サーバにPPPoEクライアントにて接続方法の設定を行う。

* ネットワークサーバをインターネットへ公開することで不正アクセスなどの脅威にさらされることになる。TCP Wrapperなどでサーバへのアクセス制限を設定することが必須である。

図II-9-5. インターネットへの接続

【解説】

1) インターネット接続に必要な情報

ネットワークサーバをインターネットへ接続してサービスを提供する場合、ネットワークサーバの所属を識別する「ドメイン名」とインターネット上で利用可能な「グローバルIPアドレス」を取得しておく必要がある。

取得したドメイン名とグローバルIPアドレスで他のネットワークからアクセスできるようにするにはISPなどで管理しているDNSサーバへドメイン情報を登録する必要がある。

2) 接続方法

インターネットへ接続する方法としては、モデムとサーバを直接接続する方法と、ファイアウォールを介してモデムとサーバを接続する方法がある。

* モデムとサーバを直接接続

モデムを介してネットワークサーバを直接インターネットへ接続する方法で、不正アクセスなどを内部ネットワークのセキュリティを確保するため、サーバに必ずファイアウォールを設定する。

インターネットとの接続は、サーバにPPPoEクライアントをインストールし、ISPなどからグローバルIPアドレスを取得できるようにする。

* ファイアウォールを介してモデムとサーバを接続

インターネットとの接続はファイアウォールが行い、インターネットへ公開するサーバはDMZ(DeMilitarized Zone)へ配置する。内部のネットワークは、更にDMZとファイアウォールを介して接続することにより、内部ネットワークのセキュリティを確保する。

ファイアウォールのPPPoEクライアント機能を使用して、ファイアウォールにグローバルIPアドレスが取得し、公開するネットワークサーバはDMZのプライベートIPアドレスを設定する。公開するネットワークサーバはファイアウォールのIPマスカレード(内部の複数のIPアドレスを外部に対しては1つだけに見えるようにする方法)を利用して外部との通信を行う。

3) サーバの設定

ネットワークサーバをインターネットへ接続する場合、以下のような設定を行う必要がある。

* グローバルDNSの設定

外部のDNSサーバへ公開するサーバ自身のDNS情報の設定と、DNS情報の転送を許可するDNSサーバやクライアントの設定を行う。

* アクセス制限

外部へ提供するサービスごとにアクセス制限を設定する。スーパーサーバから起動されるサービスはスーパーサーバのアクセス制限を利用し、それ以外のサービス単体でアクセス制限を実行することが出来ないサービスについてはTCP Wrapperを利用してアクセス制限を行う。

また不要なサービスを停止することにより、無用なアクセスを受け付けないようにする。

* 外部からのアクセス手段

ネットワークに所属するユーザが外部のネットワークからアクセスを行う必要がある場合、SSHやSSLによるアクセスやクライアント証明書を利用することにより、よりセキュアな方法でアクセスを行うように設定を行う。

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。