Tag Archives: network

OPT100E ファイアウォール編

PLANEX BRL-04FMX が一週間に一度はフリーズするようになってしまったので、MICRO RESEARCH NetGenesis SuperOPT100E MR-OPT100E を追加し、スクリーンサブネット・ファイアウォールを前回の記事で構成した。この記事ではそれぞれのファイアウォール(フィルタリング)を設定していきたいと思う。この記事で設定するのは NetGenesis SuperOPT100E とBRL-04FMXのみで、Linuxのiptables、MacやWindowsに内蔵されているファイアウォールは省略する。

論理構成

< !-more–>

まずは最上流である、NetGenesis SuperOPT100E のファイアウォールを設定しよう。ファイアウォールを構築するとき、「原則破棄で、使用するポートだけを明示的に開放」というポリシーが望ましいが、なんとこの NetGenesis SuperOPT100E はパケットをフィルターしたことがログに記録されないのだ。家族が使用するポートがいまいち把握できない状態でこれはあまりにもつらいので、「WAN→LANは原則破棄で、使用するポートだけを明示的に開放(IPマスカレード)、LAN→WANは原則通過」とする。

Continue reading OPT100E ファイアウォール編

OPT100E ネットワーク編

MICRO RESEARCH NetGenesis SuperOPT100E MR-OPT100E東京ではお盆を迎えていよいよ暑くなってきたが、そのためかルーターとして使っている PLANEX BRL-04FMX が一週間に一度はフリーズするようになってしまった。単にクライアントしかぶら下がっていないのならば「あれ、インターネットにつながらないや。ルーターを再起動するか」で済むけど、自宅サーバーがある身には致命傷である。Hobbitで監視しているとは言え、就寝中や勤務中はどうしようもないので、もっと安定するルーターに置き換えることにした。候補は以下の三つ。

どれも安定性では定評があるが、中でも NetGenesis SuperOPT100E に対しては誰もが「安定している」と言っているのでこれにしてみた。BroadStation BHR-4RV は NetGenesis SuperOPT100E の半額以下で魅力的だったんだけど、「絶対に安定していること」と「VPNいらない。QoSちょっと興味ある」という理由で選ばず。CentreCOM AR260S は Allied Telesis のブランド力はあるものの、マニュアルを見ると大した機能がなく2万5000円の価値を感じなかった。とは言え、NetGenesis SuperOPT100E が今どきステートフル・パケット・インスペクション(SPI)を搭載していないのもどうかと思ったんだけども。

Continue reading OPT100E ネットワーク編

ネットワーク構成

PLANEX BRL-04FMX を使って宅内ネットワークを構築してからずいぶん経ったが、サーバーを公開してからファイアウォールを中心に見直している。

まず、物理ネットワークは以下のように変わっていない。部屋Bにサーバーとなる Dell PowerEdge SC430 があり、部屋Aと部屋Cにクライアントがある。それぞれは1000BASE-TスイッチングHUB「corega CG-SW05GTPLB」を通って部屋Xの PLANEX BRL-04FMX に集約され、そこからマンション共有のルーターを経由してインターネットにつながっている。

物理ネットワーク

Continue reading ネットワーク構成

PLANEX BRL-04FMX

PLANEX BRL-04FMXマンションの管理費に含まれており、実質強制加入となっているボクが使っているISP「e-mansion」が固定グローバルIPアドレスサービスを月額525円で始めだしたので、Dell PowerEdge SC430 でREWSE.JPを運用することにした。今まではプライベートIPアドレスだったんでダイナミックDNSですら使えなかったんだけど、いきなり大きな進化である。一契約につきIPは1個なものの、DNS登録に関しての制限もないので、個人で使う分には十分だろう。ただ、今までのプライベートIPアドレスのぬるま湯からいきなり固定グローバルIPアドレスという独り立ちを要求されることになったので、ネットワーク周りを再構成することにした。

まず、現状の構成はこんな感じ。

現状のネットワーク構成

Continue reading PLANEX BRL-04FMX

SMBサーバーの構築

SMBサーバーを構築しよう。SMBはWindowsの標準的なファイル共有プロトコルで、UNIX/Linuxからはsmbclientやsmbmountを使えばアクセスできるし、Mac OS X もSMBにそのままアクセスできるので、クライアントOSを選ばないという点で使いやすい。今回は特定のプロジェクト・グループのみ読み書き権限を与えたディレクトリと、特定のグループに所属しているユーザーは読み書きでき、そのほかのユーザーは読み出しのみ可能なディレクトリを作成する。

特定のグループにしか公開しないディレクトリを作成する。ローカル環境に対しては、projectグループに読み書きを許可し、sgidビットを立てることで、そのディレクトリ内に書き込みされたファイルは全て、そのディレクトリと同じグループになるようにした。

Continue reading SMBサーバーの構築