今回の獲物は・・・・
このサーバ、実はただのファイルサーバではなくて、外向けのWebサーバもやらせています。
本当は別にしたいんですが、場所の問題で(苦笑)
言い訳はこの辺にして、今回の獲物はインターフェースの構成についてお話ししたいと思います。
インターフェースについて
このサーバには、物理NICが3口あります。
こんな感じです。
お気づきの方もいらっしゃるでしょうが、ファイルサーバ高速化のため、bondingもしているのでインターフェースが物理NIC以外のものがあります。
eno1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
enp2s0f0: flags=6211<UP,BROADCAST,RUNNING,SLAVE,MULTICAST> mtu 1500
enp2s0f1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
nm-bond: flags=5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST> mtu 1500
virbr0: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500
bondingについて
最近(じゃないか)では面倒だったbondingもNetwork Managerで一撃です。
物理NIC選んでおしまい。
おじさんからすると、なんて簡単なんだ・・・・orz
いやー時代が進むって良い事ですねw
ルーティングについて
ルーティングですが、これも至極シンプルに実装しました。
グローバル側をデフォルトゲートウェイに設定することが必須なので、当たり前といえば当たり前なのですが。
やはりシンプルイスベストですね。
[root@casper ~]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default gateway 0.0.0.0 UG 101 0 0 eno1
192.168.3.0 0.0.0.0 255.255.255.0 U 300 0 0 nm-bond
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0
219.117.231.168 0.0.0.0 255.255.255.248 U 101 0 0 eno1
ファイヤウォールについて
最近では、iptablesからfirewalldに変わりましたね。
私も最初は悩みましたが、試行錯誤しているうちにだんだん考え方がわかってきました。
我が家での設定はこんな感じです。
firewalldでは、ゾーン単位に管理されます。
我が家の場合、dmzゾーンを追加で定義しています。(publicはデフォルトゾーンです)
また、ゾーンに対してインターフェースを定義した上で、各々ルールを設定していくので、分かりやすいですよね。
#irewall-cmd --get-default-zone
public
# firewall-cmd --list-all --zone=dmz
dmz (active)
target: default
icmp-block-inversion: no
interfaces: eno1
sources:
services: ssh dns smtps https smtp http
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
# firewall-cmd --list-all --zone=public
public (active)
target: default
icmp-block-inversion: no
interfaces: nm-bond enp2s0f0
sources:
services: ssh dhcpv6-client samba dns smtp
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
コメント