2001.07 インターネット・サーバ再構築(その2)
インターネットとイントラネットとの仲介をしていたゲートウエ イ・マシーンがダウンして、もう1ヶ月近くになります。陸の孤島 状態が一ヶ月も続いているというのは、ここ10年来まさに異例の ことです。先月オーダーしていた sonicWALL というファイアーウオ ール機器(弁当箱ほどの小さく軽い箱です)がようやく納品されたの で、ゲートウエイの再構築にかかりました。
今回再構築しなければならないのは、OCN回線と接続するルータの 設定、ファイアーウオールの設定、そしてDMZ(非武装地帯)に置い て外部への Web や Mail などのサービスを提供する外部サーバの3 つです(これまでは後者2つを一台の DOS/Vマシーンに2枚のイーサ ネットカードをさし、FreeBSD 上でいろいろなサーバ用ソフトウエ アを走らせ処理していました)。 前号で書いたように、今まで動いていたゲートウエイ・マシーン の設定は他人任せだったので、今回はほとんど白紙状態からの再出 発で、その顛末記です。
○ ルータの設定
ルータ自体は今まで元気に動いていたので問題ないのですが、い ざそこへ接続しようとすると、以前の設定条件がわからないのでど うにもなりません。以前設定した人間に尋ねるとしても、マニュア ルには肝心のところが細かく説明されていないので、後々立ち往生 することは間違いなさそうです。 地元武蔵小山にも数年前に総合電機店 LAOXができました。たまた ま売場の棚をながめていると、ISDNルータが置いてありました。箱 をとってよく見るとOCNにも対応しているようです。そして昔の値段 を知るものにはびっくりの3万円台ということで、即買ってしまい ました。
MN128-SOHO/PAL という機種ですが、Ether で接続してWeb brows er で設定ができます。いろいろいじっているうちにIP address を 変更して再立ち上げすると、設定を間違えたのかどうやってもブラ ウザーと接続できなくなってしまいました。 「これは参ったなあ」と思い、マニュアルをよく読むと前面パネ ルのボタンと液晶パネルで設定した IP address が確認できるよう になっています。これは有り難い。無事設定をなおすことができま した。これでLAN側からルータをコントロールできるようになりまし た「よし、よし」。
OCN への接続設定は思ったより簡単で、Web browser を接続して たった一画面分を編集するだけです。とりあえず、ここにノートブ ックを繋いでみると外部の Web にばっちり接続できました。通常の 外部へアクセスするだけの使い方であればこれで終わりです。随分 簡単になったものだなあと、しばし感激。 しかし、私のところでは自前のサーバを挙げて、DNS, Web や Ma il server をセットしなければならないので、これからが格闘の始 まりです。
○ 外部向けサーバとDNSの設定
外界の Web を見るだけなら、プロバイダーの DNS(Domain name server)を使うだけでもよいのですが、e-mail など外部とのやりと りをスムースに行うには、自前のDNSを立ち上げる必要があります。 CobaltCube がまだ手に入らないので、とりあえず先月号で書いたた った4万円のちっぽけな箱 OpenBlockSに DNS の設定をしました。
オプションで買ったフラッシュメモリーにシステムをインストー ルして、ここからシステムを立ち上げるように設定(ここで一度し くじり、フラッシュメモリーへ再インストールしなおしましたが、 付属の簡単なマニュアルをよく読んでその通りにやれば、設定は極 めて簡単です)。 これらの設定は Telnet でloginしてコマンドラインで行います。 ちっぽけながら Linux が動いているので、このあたりは UNIX に慣 れた人間にとっては馴染みの深いところです。システムをインスト ールしてしまえば、あとはほとんどWeb ブラウザーからできます。
DNSを自分で設定するのは初めてなので、うまくできるか心配でし たが、昨年買った何冊かの Linux サーバ設定本を読みながら試行錯 誤で、どうやらうまく作動するようになったようです。DNSとして動 作する BIND というソフトウエアを動かすための設定ファイルの書 き方も最初はチンプンカンプンでしたが、何冊かの本を脇に積んで 試行錯誤をくり返すうちに、だんだんその本質が理解できるように なってきました。
ある程度理解してしまえば、そう複雑なものでもなさそうです。 外部と Mail のやりとりをするには sendmail などを設定する必要 がありますが、これは後にまわすことにします。OpenBlockS にはs endmail も載せることができると書いてありますが、これはこのち っぽけな箱にはちょっと荷が重そうに見えるので、正式のマシーン が来てからにしたいと思います(sendmail.cf さえ他のマシーンで きっちり書ければ、動かすこと自体はそう荷が重いものでもないの かも知れません)。
○ ファイアーウオールの設定
前述のように今回ファイアーウオールは、専用機器として sonic WALLを購入しました。これまた設定は Web ブラウザーです。sonic WALLの場合はtelnet のような手段は提供されず、ブラウザーでの設 定だけです。セキュリテイー上 telnet など外部から内部にアクセ スし自由に操作できる可能性のある手段は搭載しないポリシーなの だと思います。
DMZ に置く外部向けサーバ(Web server や Mail Serverなど)とL AN内部との関係が具体的にどうなるのか、完全には理解できていな かったのですが、いろいろと設定に試行錯誤をくり返すうちにおぼ ろげながら、そしてやがてかなり明確に見えてきました。 どうやら内部から DMZ上のネームサーバへのアクセスもうまくで きるようです。なるほど、LAN内部からは自由に外界のインターネッ トへ出てゆけるが、基本的に外からはシャットアウトされるという のが、ファイアーウオールの標準設定だということがわかりました 。 外部と直結する専用線(現在はOCNを使用)にルータを接続し、そこ で専用線を Ethernet に変換します。
sonicWALL(ファイアーウオール)には3つのイーサネット・ポート があります。WAN(インターネット), LAN(内部ネットワーク), DMZ( 非武装地帯)の3つです。WAN のポートにルータを、LANのポートに はHub を接続します。この Hub の先は院内ネットワークになります 。院内からは自由にインターネットにアクセスできますが、外部か らLANに入ることはできません。とりあえず自前のプライマリーDNS が動いていなくても、プロバイダーのところにあるセカンダリーの DNSを参照先として設定すれば、Web などを見るには支障ないことが 理解できました。
通常の使い方であればこれだけでよいのですが、自前のWeb, Mail サーバを立ち上げる場合は、外部へ公開されたサーバをDMZ(非武 装地帯)の中に設置します(これは要塞サーバなどと呼ばれます)。 万一外部から侵入されても、要塞サーバが侵食されるだけで食い止 めることができるというわけです。
○ LAN から切り離された要塞サーバを楽にメンテするには
このようなポリシーなので、要塞サーバには内部LANからtelnet などで入り操作することはできない設定にします。今まではLAN内部 のマシーンに Web サーバを置いていたので、コンテンツの編集など も手許のマシーンでできて楽だったのですが、今度は直接要塞サー バのところまで足を運ばなければ編集できないのが不便です(ゲー トウエイ・マシーンは、日の当たらない余り使わない部屋に設置さ れているのです)。
消防署は避難のために出口を確保するよう指導しますが、警察署 は防犯のため出口のガードを厳しく指導するのに似て、どちらかに 加担すると片方では不便になるのは仕方のないことなのでしょう。 設定がうまく行き安定して運用するようになったら、要塞サーバ にFireWire や USB で簡単に接続できる HDを接続し、その中に We b contents などを入れようかと思っています。こうしておけば運用 しながら簡単にcontents の入った HD を取り出し、自室でゆっくり と編集することができますから。
先日、USB/FireWire 両方の口をもった HD ケースが1万円くらい で売られているのをみつけました。その店でPowerBookG4 へ接続し てみるとMacOS X でも専用ドライバーなどインストールすることな く、そのまますんなり繋がるのを確認し買ってきました。これは手 軽で便利です。これからは大容量の HDを気軽に持ち歩いて、いろい ろなマシーンに接続できる時代ですね。
ひと昔前には、Sun workstation に増設するため、ひとかかえも ある巨大なHDを大枚はたいて購入したものでした。電子カルテを外 来で使い始めたころで、HDの価格は80万円あまり、500MBの大容量に 感激したものです。10年ちょっと前のことでした。その後HDの価 格が低下するのを首を長くして待ったのですが、なかなかその時期 は来ませんでした。しかし、一旦低下しはじめるや、その早さは劇 的でしたね。
今ではレーザプリンターの台と化したHDの巨大な筐体(虎は死し て皮を残す)と、手のひらに乗るほど小さな10GB の HDとを見比べ ながら、時代の流れに思いを馳せました。 、、、おっと、サーバの話から脱線してしまいましたね。サーバ との格闘はまだまだ続きます。続きはまた次号。