第1部 構築編

本番運用に向けて

家庭内 LAN とセキュリティ (後編)

さて、前後編でお伝えしている「家庭内 LAN とセキュリティ」だが、ここで目指しているネットワーク構成の資料を用意したので、図を見てイメージを掴んで欲しい。

上のネットワーク構成図は、この日記が掲載された 2003/08/28(Thu) 時点でのネットワーク構成図です。
その後のネットワークトラブルや新型機の導入などにより、現在の状況とは異なります。

では続きを始めよう。
ネットワークをギガビット化し、無線 LAN アクセスポイントを設置して力尽きた翌日だ。
職場から帰って家人のノートパソコンを奪い取ると設定を開始する。

最初に PC カードスロットに無線 LAN カード GW-NS54G を挿入しようとして、ふと止まる

CD-ROM は何処や………?

目の前に鎮座しているのはモバイル型 SONY VAIOとにかく小さい物理的に CD-ROM ドライブが入る場所はない
外付けだろうと判断し、家人に CD-ROM の場所を聞く、と押入から出てきた(涙)
取りだしたる CD-ROM は PC カードスロットで接続する ATA のタイプだった………

あ、阿呆やっ!?
PC カードのハードウェアデバイスセットアップすんのに PC カード塞いでどないすんねんっ!?

モバイルノートってこういうモンなんか~と絶句
もしかして SONY の VAIO だからダメダメなのかも知れないが、All in One ノートの DELL Inspiron 8100 ユーザとしては不便この上ない。

そのかわり Inspiron 8100 は滅茶苦茶重いが、外付けハードをまとめて持ち歩くよりは楽かなぁ~などと思う。

取り敢えずドライバをハードディスクへコピー………

ここで実は更に馬鹿なコトに気付いてしまった。
USB ポートが本体左面にある………USB にマウス繋いだら右利きの人はどうするんだ?
ちゅ~か右利きの人の方が多いやろ??
せめて背面にしておけば良いのに、流石は SONY、実に目の付け所が先進的だ(爆)

んで、カードを挿入してセットアップ。
WindowsMe のネットワーク設定は初めてやったが、Windows98SE の亜種だけあって旧態依然としており、2000 と比べると結構面倒だ。
ま、Windows その物っちゅ~か Microsoft が限定的な狭い範囲のネットワークしか考慮していないから仕方ないけどね。

一応、IP アドレスを 192.168.10.10、サブネットマスクを 255.255.255.0 に設定。
ゲートウェイを無線 LAN アクセスポイントの 192.168.10.100 に設定する。
GW-NS54G のマニュアルは容赦なく DHCP 設定を要求しているが、そんなものは立てていないので無視する。

ちゅ~か、DHCP サーバが前提のマニュアルって凄いよなぁ~
家庭内 LAN で無線 LAN 利用する場合、普通 DHCP は立ててないと思うぞ、俺………

んで、再起動。
取り敢えず無線 LAN アクセスポイントに ping が通るか試してみるが………

通りゃしねぇ~し………

何やってもネットワークが言うこと聞かないので、ipconfig コマンドで NIC の設定を見てみると………

0.0.0.0

ぅおいっ!?

ネットワークの設定が完全無欠に無視されている
頭来て TCP/IP にバインドかかっている GW-NS54G 以外のハードウェアを軒並み止めて、再起動
今度はまともに設定された。

WindowsMe ごときのマシンにネットワーク機器をゴチャゴチャと付けているせいで、互いに排他したらしい。
流石は天下の SONY、他社製品や追加パーツへの排他処理は完璧だ(笑)

で、無線 LAN アクセスポイントに ping を放ってみると、今度は正常に帰ってきた。
更にサーバ側 192.168.10.1 に ping を放ってみる、これもちゃんと帰ってきた。

さて、では外部に向かって ping を放ってみよう
/etc/ppp/firewall-masq の設定を書き換えて、サブネットワークからもサーバでのドメイン引きと ping が放てる様にしてみた。
んで、試しに yahoo.co.jp に ping を放ってみる………

………ん?

Request time out. の表示が踊って、どう転んでも ping が届かない
ドメインの正引きは出来ているので、根本的に ping が外部にルーティングされていないのだ。

もしかして /etc/ppp/firewall-masq の記述が間違えているのだろうか?
メインネットワークからサブネットワークが覗ける様にしているのがまずいのか、ルーティング経路が混乱しているのか、とにかく色々と書き換えて試してみるも、全く改善しない。
インターネットで調べるも、それらしい問題はない。

………マズイ………

ちと本格的に焦る

万策尽きたところで、ふと思い至る。
VAIO のネットワークの設定で、ゲートウェイを無線 LAN アクセスポイントの IP アドレスにしておいた。
それをサーバの IP アドレスを指定したら………??

んで、実験。
いとも簡単に繋がる(爆)

無線 LAN アクセスポイントは自身の設定用画面を提供するために IP アドレスを保持しているが、ルータ機能は無く、単純にハブ機能だけを持っているに過ぎないのだ。
だから、ハブの範囲では動いていても、ルータの範囲であるルーティングが正常に働かなかった、ということだ。
俺の根本的な勘違いだが、マニュアルも DHCP 前提でしか書いていないのだから不親切だよなぁ~

さて、ping が通ったところで HTTP も開けてみる。
一度うまくいってしまうと、これも難なく成功、VAIO は迅速に http://www.yahoo.co.jp/ を映し出した。

結構結構♪

さて、今度はセキュリティ確認だ。
メインネットワーク側のメイン機から、サブネットワーク側の VAIO に ping が通るか確認する。
これは良し
元々サブネットワーク側の無線 LAN アクセスポイントにアクセスできるのだから、ping が通らないワケがない。

んで、今度は逆パターン。
サブネットワーク側の VAIO から、メインネットワーク側のメイン機へ ping が通らないことを確認する………

通るやんっ!?!?

ping は何の躊躇いもなくメイン機に届き、メイン機はしっかりと返答を返してしまった
つまり隔離したはずのサブネットワークから、安全圏に待避したはずのメインネットワークが見えてしまうということだ。
これはマズイ、ネットワークを分離した意味がない

慌てて /etc/ppp/firewall-masq を開いてじっと眺めて、原因らしきモノを発見。
FORWARD で帰ってくる方向のパケットに関して、コネクションを張ったパケットと関連するモノに限定をかける
こうすることで、片方向のルーティング以外は出来なくなるはずだ。

で、確認。
サブネットワーク側の VAIO からメイン機に飛ばした ping は目出度く Request time out の表示を弾き出した。

再びココで力尽きる。
どうせ家人ももう寝ているし、環境説明は翌日や………

んで、再び翌日
仕事から帰って飯喰ってシャワー浴びて、早速環境説明に入る。
家人は正真正銘の素人なので、Internet Explorer と Outlook Express に毒される前に Netscape 7.1 をインストールしてしまう(笑)
中途半端に聞きかじっている手合いよりも素直でよろしい。

これもある意味では洗脳だが、ちゃんと前後の説明してから推奨ソフトウェアとしてインストールしたので、問題は無かろう。

無線 LAN も無事に開通し、劇団四季のウェブページでお試し。
家人はたいそう気に入った模様で、翌日からネットサーフィンに勤しむことであろう。

今回作成したファイアウォールの設定ファイル /etc/ppp/firewall+-masq はセキュリティ上の理由により一般公開しません。

Valid HTML 4.01 Strict Valid CSS!