なーお さんの日記
VMwareーServerを使って、また変則的なことを考えてしまいました。 ホストOSとゲストOS間が仮想ブリッジ接続となっていることを 利用し、そこでセグメントを分けてしまおうという考えです。 そうすれば多少はリスク低減の方向かと。。 以下、少し実験をしたのでその結果も踏まえての 記事です。
まず前提として、ホストはLinuxでもWindowsでも構わず同じ構成のゲストOSが乗せられること。万一のトラブルの際にすぐに稼動できます。 そしてADSLルーターからの内向き通信は公開サーバーのみに通し、外向き通信はネットワーク内のどのホストからでも可能なようにルーティングとファイ ヤーウオールを設けることです。
また、公開エリアが万一クラッキングされた場合でも、被害拡大まで少しでも時間が稼げるように、ルーターは別の仮想PCとするよう考えます。
とは言ってもどうせブリッジ接続でパケット通っちゃいますから、大してセキュリティ効果は上がりませんよね。。それに、公開エリアの仮想サーバーに2枚め の仮想NICを挿しておかなければいけない時点で、ここをクラックされたら結局全部同一セグメントに置くのとほとんど変わらないんですね。
実験に入ってみたところ早速落とし穴がありまして。 ゲストOSの仮想NICの1番目はホストOSの実NICと同一セグメントにないと、 ホストOSごと起動した直後は通信ができません。
一旦仮想NICを無効にして再度有効にすると通信するようなのですが、、結局仮想NICは2枚挿しが必須となり、2枚目をADSLルーター側と同一にしてみました。
実験ではWindowsXPホスト上でのみ、ゲストOSの挙動とルーティング/ファイヤーオウールを簡単に確認するまでは行けました。 この記事 も仮想PC(VineLinux4.0b2)のルーティングを通して通信してます。 セグメント間の速度は。。30Mbpsくらいしか出ませんね。かな り落ちます。
Linuxホストに移しての確認が残っていますが・・ 現在稼動中なのでおいそれとはできません。
***
それにしても、勉強を兼ねた実験とはいえ、何とも中途半端なネットワークですね。 現状の構成よりは少しはマシだと思いますけど。