Division By Zero

ゼロで割る

自サーバーがインターネットから見えない際のメモ

サポートのためにオンプレミスなLinuxサーバーを一時的にグローバルセグメントに接続することがある。最低限、以下を守るようにしている。

  1. iptablessshとサポート内容に沿ったサービスのみ許可
  2. rootパスワードをランダムに払い出す
  3. rootログインを不許可
  4. 当該サーバーに2ポート以上のNICがあっても、内部セグメントやDMZセグメント等には同時に接続しない

最近は、メールサーバーのreputation等があるので、万一SPAMメールの踏み台にされたりすると、同一IPブロックのメールサーバーからのメールがブロックされることで、長期に渡って業務に支障が出ることもあるので、使い慣れたテンプレートがあるとはいえ、iptablesの設定は慎重に行うようにしている。

さて、グローバルセグメントにあるスタンドアローンの別サーバーからの接続もうまくいき、サーバーを公開する相手に連絡したところ、「接続できない」とのこと。当たり前過ぎて、書くのに忍びないが、ここで確認すべきは以下の2点。

  1. netmask
  2. default route

上記を設定しなくても、同一のネットワークに接続されていれば通信できるが、一歩外からは接続できない。

小さな組織ではネットワークをルーターで分ける必要があまりないこともあり、netmaskやdefault routeの重要性を忘れてしまいがち。ここにメモすることで記憶に残ることを願って今日は終了!