Linux ネットワークアプライアンスの構築　―　パート2

構築内容

最初の回では、Linux ベースのネットワークアプライアンスが必要な理由について解説した。そこで今回は、構築について解説する（ハードウェア要件については本シリーズのなぜ Linux か？　を参照）。ここでは、2種類のアプライアンスを構築する。ひとつはファイアウォール、セキュアリモートアクセス、侵入防止などのネットワークボーダーサービス用で、もうひとつはファイル/プリンタ共有、ネットワークストレージ、およびバックアップなどの LAN サービス用だ。最初にブロードバンドインターネット回線共有用のインターネットファイアウォール/ゲートウェイについて解説する。われわれの Linux ゲートウェイは、Linux だけでなく、あらゆるプラットフォームに対応してクライアントの保護を行う。これで、コストが削減され、完全なコントロールが実現し、そしておそらくは防止機能も改善されるだろう。

まず、共有ブロードバンドインターネット回線がすでに用意されているはずだ。これには Linksys や Netgear のハードがあればよく、ファイアウォールにするハードも LAN に接続しておく。これの管理は、LAN 上にある2台目の PC から行う。管理操作は OpenSSH もしくは Web ブラウザ経由で行うため、Linux、Mac、あるいは Windows など、PC は何でもかまわない。典型的なセットアップは以下のようになる。

ブロードバンドモデム
↓
ゲートウェイ
↓
スイッチもしくはハブ
↓
LAN ホスト

インターネット回線共有用のルータもしくはゲートウェイがまだない場合は、ファイアウォール用のハードをインターネットに直接接続してもかまわない。ただ、2台目の PC はリモート運用を念頭に、スイッチあるいはハブ経由で以下のように接続する（図1参照）。

ブロードバンドモデム
↓
ゲートウェイボックス候補
↓
スイッチあるいはハブ
↓
2台目の PC

ここでは、頑強なハードウェアゲートウェイの基盤として Debian GNU/Linux OS をインストールする。Debian は保守やアップグレードが容易で、安定して信頼性も高い。Debian には、「Stable （安定版）」、「Testing （テスト版）」、「Unstable （不安定版）」、そして「Experimental （実験版）」の4つのタイプがある。Experimental を除く残りすべてのタイプには、Sarge （「ボス」、Stable）、Etch （「心に刻む」、Testing）、Sid （「衝突実験用ダミー」、Unstable）といった気の利いたコード名が付いている。

Stable には、古いが十分にテストされたパッケージが含まれているため、最新のリリースよりは、常に内容的に遅れている。ただ、これこそファイアウォールのように重要なものに必要な条件だ。Testing あるいは Unstable は、デスクトップシステムで運用できる。名前だけ見ると怖くなるが、動作は問題ない。しかし、これらを重要なサーバー上で運用することは避けたい。

Debian を選択したといっても、Linux のほかのバージョンが劣っているわけではない。ディストリビューションをひとつに絞ったのは、本シリーズの内容をシンプルにし、できるだけ短時間で運用を開始できるようにするためだ。

続きはこちら。


図1: Linux でアプライアンス