一から作る自宅サーバNo4

今回の獲物は・・・・

このサーバ、実はただのファイルサーバではなくて、外向けのWebサーバもやらせています。
本当は別にしたいんですが、場所の問題で(苦笑)

言い訳はこの辺にして、今回の獲物はインターフェースの構成についてお話ししたいと思います。

インターフェースについて

このサーバには、物理NICが3口あります。
こんな感じです。
お気づきの方もいらっしゃるでしょうが、ファイルサーバ高速化のため、bondingもしているのでインターフェースが物理NIC以外のものがあります。

eno1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
enp2s0f0: flags=6211<UP,BROADCAST,RUNNING,SLAVE,MULTICAST>  mtu 1500
enp2s0f1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
nm-bond: flags=5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST>  mtu 1500
virbr0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500

bondingについて

最近(じゃないか)では面倒だったbondingもNetwork Managerで一撃です。
物理NIC選んでおしまい。
おじさんからすると、なんて簡単なんだ・・・・orz
いやー時代が進むって良い事ですねw

Network Manager の設定

ルーティングについて

ルーティングですが、これも至極シンプルに実装しました。
グローバル側をデフォルトゲートウェイに設定することが必須なので、当たり前といえば当たり前なのですが。
やはりシンプルイスベストですね。

[root@casper ~]# route 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         gateway         0.0.0.0         UG    101    0        0 eno1
192.168.3.0     0.0.0.0         255.255.255.0   U     300    0        0 nm-bond
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0
219.117.231.168 0.0.0.0         255.255.255.248 U     101    0        0 eno1

ファイヤウォールについて

最近では、iptablesからfirewalldに変わりましたね。
私も最初は悩みましたが、試行錯誤しているうちにだんだん考え方がわかってきました。
我が家での設定はこんな感じです。
firewalldでは、ゾーン単位に管理されます。
我が家の場合、dmzゾーンを追加で定義しています。(publicはデフォルトゾーンです)
また、ゾーンに対してインターフェースを定義した上で、各々ルールを設定していくので、分かりやすいですよね。

#irewall-cmd --get-default-zone
public

# firewall-cmd --list-all --zone=dmz
dmz (active)
  target: default
  icmp-block-inversion: no
  interfaces: eno1
  sources: 
  services: ssh dns smtps https smtp http
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

# firewall-cmd --list-all --zone=public
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: nm-bond enp2s0f0
  sources: 
  services: ssh dhcpv6-client samba dns smtp
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
%d人のブロガーが「いいね」をつけました。