ネットワーク配線について

現在、イントラネットをインターネットに繋ぐ作業をしているのですが、次の配線は問題ないでしょうか？
条件として
Ａ：プロキシ機（LANボード2枚）
Ｂ：リモート操作機（LANボード2枚）
ＡとＢのイントラネット側は同一サブネット
ＡとＢのルータ側もイントラネットとは別の同一サブネット
Ｂへのアクセスは、ルータのポート開放
とします。

　　インターネット
　　　　　｜
　　　　ルータ
　　　　　｜
　　スイッチングハブ－－－－－Ｂ
　　　　　｜　　　　　　　　　｜
　　　　　Ａ　　　　　　　　　｜
　　　　　｜　　　　　　　　　｜
　　スイッチングハブ　　　　　｜
　　　　　｜　　　　　　　　　｜
　　　　イントラネット－－－－－

こういう場合は、ループ配線になるのでしょうか？
基本的な質問で申し訳ありませんが、回答をよろしくお願いします。

No.6 ベストアンサー 回答者： kuma-ku 回答日時： 2005/02/15 12:01

Server B の用途は理解できました。

＞やはり一番気掛かりなのがＢ端末を介してイントラネットに危険が及ぶような気がすることです。やはり、ポート開放によるリモートデスクトップはセキュリティ的に問題でしょうか？

もちろん危険性はあります。

開いているPort を調べれば、どんなサービスへアクセスできるか容易に判別できるので、やる気さえあれば、侵入する事も可能です。

しかし、世の中100%安全という事は無い、ということを理解されていればOK だと考えます。
定期的に、XP のアクセスLog を確認する必要があります。
チョッと探してみたら、以下のようなツールがあったので、使用されてみては如何でしょうか？
http://www.vector.co.jp/soft/winnt/net/se317870. …

便利な機能とそれに伴う安全性は、反比例する事を、ご理解ください。

この回答へのお礼

本当に何度も何度も迅速な回答をありがとうございました。
今可能なシステムをセキュリティの高い意識で運用して、より安全な方法を実装できるように勉強していこうと思います。

お礼日時：2005/02/15 12:24

No.5 回答者： kuma-ku 回答日時： 2005/02/15 09:53

A,B それぞれServer の用途と設定は、以下のような認識でOK でしょうか？

□Server A
・Proxy Server
・Routing Table
　+Default Route -> Internet 側のRoute
　+NIC Connect -> NIC のアドレスが所属するNW
　+必要に応じてIntra 側のNW

□Server B
・RAS Server？
　+Default Route -> Internet 側のRoute
　+NIC Connect -> NIC のアドレスが所属するNW
　+必要に応じてIntra 側のNW

Intra-Net 内のPC は、Proxy Server を介してInternet アクセスを行うようになっていれば、なんら問題はありません。
一部、外部からServer B を介してアクセスする端末があれば、Server B で内側へNAT して入ってくれば、何も設定は必要ないですが、NAT しないようであれば、その端末にRoute を追加する必要があります。

この回答への補足

回答ありがとうございます。
Ａ端末は、フリーのBlack Jumbo Dogをプロキシにしています。イントラネット内の登録したPCだけプロキシを使ってインターネットに接続させるつもりです。
Ｂ端末は単なるWindows XP Proです。
Windows XPのリモートデスクトップ機能を使って、インターネット側からは、ルータのポートフォワーディングでポートを開放し、Ｂ端末に転送しています。
Ｂ端末はイントラネットにも所属しているため、そのままネットワークを利用しています。
やはり一番気掛かりなのがＢ端末を介してイントラネットに危険が及ぶような気がすることです。やはり、ポート開放によるリモートデスクトップはセキュリティ的に問題でしょうか？
何度も補足して申し訳ありません。

補足日時：2005/02/15 11:29

No.4 回答者： kuma-ku 回答日時： 2005/02/14 21:02

こんばんは

なんだか気になる回答があったのでお邪魔します。

結論から書かせていただくと、問題無しですよ。

Loop が禁止されているのは、HUB やSwitch だけでサークル状になる構成です。

今回、sakupapaさんが用意された、A,B のServer はNIC を2枚挿しされており、それぞれが異なるNW を構成していると言うことですので、いわばRouter の役割を担っています。

よって、Router で構成されるLoop は、通信が輻輳しません。

具体例として
□NG

　　+---(192.168.0.0/24)---+
　　|　　　　　　　　　　　　　　　　|
　[HUB]　　　　　　　　　　　　[HUB]
　　|　　　　　　　　　　　　　　　　|
　　+---(192.168.0.0/24)---+

□OK
　　+---(192.168.0.0/24)---+
　　|　　　　　　　　　　　　　　　　|
[Router]　　　　　　　　　　　[Router]
　　|　　　　　　　　　　　　　　　　|
　　+---(192.168.1.0/24)---+

この回答への補足

回答ありがとうございます。
なんだか2通りの回答があり迷っています。
＃1さんの回答は、私が危惧していた状態で、
kuma-kuさんの回答は、考えていたよい方の結果でした。
Ｂをはずしてしまえば、まったく問題ないと思うのですが、イントラネットに繋がったPCをインターネットからリモートで操作する必要が1台だけあるため、こうなってしまいました。

補足日時：2005/02/15 09:16

No.3 回答者： reachippatu 回答日時： 2005/02/14 19:40

本件の場合、プロキシの２枚挿しが余計かなと・・。

インターネット
　　　　　｜
　　　　ルータ
　　　　　｜
　　スイッチングハブ－－－－－－－
　　　　　｜　　　　｜　　　　　｜
　　　　　Ａ　　イントラネット　Ｂ

こんな感じでもいけますよ。
Ｂへはルーターの静的ポートフォワードで。
できれば、ＤＭＺを構築してそこにＢをおけば完璧
ですがね。
　　　　　　

この回答への補足

ネットワークセキュリティに自身がないため、
ルータとＡ、Ｂの間とＡ、Ｂとイントラネット側をプライベートアドレスのネットワークにして、イントラネットをなんとか保護しようとしてこうしました。
ＤＭＺは、セキュリティの面で自身がないため今後の課題と考えています。

補足日時：2005/02/15 09:13

No.2 回答者： Aruku-20030515 回答日時： 2005/02/14 19:15

補足しておきます

貴方のやろうとしていることは
一般的に「やっちゃいけない」事です

この回答への補足

回答ありがとうございます。
私の質問欄の図がおかしかったですね。
ＡとＢにNIC2枚挿しをして、ネットワークを分けていても
やはりループしてトラフィックがおかしくなってしまうのでしょうか？

補足日時：2005/02/15 09:11

No.1 回答者： Aruku-20030515 回答日時： 2005/02/14 19:13

ルーティングやスパニングツリーが可能な機材なら可能ですが

単なるハブの場合は、情報がループします。
スイッチを使っているようなので
あからさまなループ現象が起こる可能性はすくないとおもわれますが
スイッチングハブが混乱してうまく通信できなくなると思います