Nedia What's up!

ネディアのエンジニアによるIT技術やサービスの紹介・検証などをお届け!

YAMAHAルータの実機・検証 第5回 自社サーバを公開する

前回は
 ・VPNクライアントソフトウェアによるリモートアクセス!
 ・IPIPによる接続(NTTフレッツ網を利用したVPN)
 ・不正な通信の遮断設定
 ・部署毎に社内ネットワークを分離
を紹介しました。
今回も引き続きYAMAHAルータの実機検証を紹介します。
第5回目となる今回は自社サーバを公開する設定です。

独自ドメインを取得してホームページやメールアドレス使う場合、WEBサーバやMAILサーバはほとんどの企業がホスティング業者に依頼します。
しかしながら業務の都合上、自社サーバをインターネット上に公開しないと運用できないケースがあります。
今回はそのような場合を想定したルータの設定例を紹介します。

今回のネットワーク設定例の条件
・YAMAHA RTX1200を使用
・ISPから割り当てられるグローバルIPアドレスは1個
・3つあるポートをそれぞれ、WAN、LAN、DMZとして使う
・インターネットに公開するサーバはDMZに設置する
・HTTPとFTPのみサーバへアクセスさせる

DMZとは?
DMZはDeMilitarized Zoneの略で直訳すると非武装地帯と呼ばれます。
インターネットや社内ネットワークからも隔離された区域のことです。
外部に公開するサーバをここに設置することで外部からの不正なアクセスを防ぎ、万が一公開されたサーバが不正なアクセスで影響を受けても社内ネットワークには影響がおよぼさないようにします。

グローバルIPアドレスとは?
グローバルIPアドレスはインターネットに接続された機器が通信するために他の機器とアドレスが重複しないIPアドレスになります。

ネットワーク構成

今回検証するネットワーク構成になります。
server-open-5
公開するWEBサーバはLAN3のDMZに設置します。
プロバイダから割り当てられたグローバルIPアドレスは1個でLAN2に設定します。
WEBサーバから社内ネットワークのパソコンA、B、Cにはアクセスできません。

ルータの設定内容

■ルータ設定内容

※34、35行目はwww、ftpのアクセスのうち最初のパケット(SYN)だけを通します。そのあとに続く通信は48、49行目の動的フィルタで通信を通します。

■設定後の検証で社内PCおよびインターネット回線経由からWEBサーバに設置したサイトへのアクセスが確認できました。

SSHでアクセスするための設定

上記の設定でホームページの閲覧や更新はできますが、WEBサーバのメンテナンスを行うことができません。
WEBサーバのOSがLinuxなどの場合、sshでサーバにアクセスする必要があります。下記設定はsshでメンテナンスを行う場合の設定になります。

■ルータ追加設定

上記設定を追加することでsshでWEBサーバに接続することができるようにサーバのメンテナンスが可能になります。

WEBサーバ以外の設定

自社サーバでは提供するサービスはWEB以外にもDNSサービス、メールサービスなど様々なサービスを提供しています。
下記にはDNS、メールサービスを提供する場合の設定を記載します。

■ルータ追加設定

自社サーバかホスティングか

自社サーバを構築するメリットはサーバを自由に使うことができます。
サーバの選定からメールアドレスの管理まで自社で行うことができますが、サーバを管理する人員の確保・時間・労力がかかってしまうのがデメリットになります。
また、専門的な技術がないとセキュリティ面で様々な問題が起こったときに対応ができず多大な影響がでます。
ホスティング業者に依頼することで専門的な技術をもった担当者が管理・運用を行うので安心して本来の業務を行うことができます。
自社が提供するサービスを見極め安心して運用できる方法をしっかり検討することも大切です。