Sirius

ルータを追加購入してネットワークのセグメントを分けて DMZ を作成する。
といっても、現在ルータで必要なポートのみを空けているので、DMZ を作成するというより宅内LANのセキュリティを強化することが目的です。

つまり、

INTERNET --- ルータ１ --- DMZ 
                 +------- ルータ２ ---宅内LAN

とします。DMZ には、Web サーバやメールサーバを配置します。できればストリーミングサーバとかもそのうち試してみたいな〜と思っていますが時間が取れるかどうか。

さて、今まで、ルータとして Buffalo の HBR-AG54 を使っていましたが、先日、Planex のルータが安かったので確保しました。
MZK-04G です。ネットでの評判はかなり酷いことになっています。が、役割を限定すればそれほどひどいことにはならないんじゃないかと思います。（安かったし）
でこのルータは有線LANが全て(WAN ポートも含めて) Gbit 対応になっています。また、宅内の HUB もほとんどが Gbit の HUB にしてあります。

この MZK-04G を確保して数日後に TWOTOP へ行ったら、MZK-W04G と NAS-01G が投売り価格で売っていたので衝動買い。でも、MZK-W04G が MZK-04G よりかなり安かったのでちょっと複雑。
しかし、これで全て Gbit で二重ルータにすることができます。

以下のようにネットワーク構成を変更しました。

INTERNET --- MZK-04G --- MZK-W04G 
              | | |       | | | |
              | | |       | | | +--- HG-LAN
              | | |       | | +----- HUB1(5ポート,1000Base)
              | | |       | +------- HUB2(8ポート,1000Base)
              | | |       +----+---- HUB3(8ポート,1000Base)
              | | |            +-+-- HUB4(8ポート,100Base)
              | | |              +-- HBR-AG54
              | | |
              | | +---- Webサーバ
              | +------ メールサーバ、NTP サーバ、DNS サーバ（キャッシュ）
              +-------- PC

MZK-04G と MZK-W04G はセグメントを分けます。たとえば、それぞれのルータのアドレスを
MZK-04G 192.168.1.1
MZK-W04G 192.168.2.1
として、MZK-04G の LAN ポートと MZK-W04G の WAN ポートをつなぎ、MZK-W04G の WANアドレスを 192.168.1.2 にします。
また、MZK-04G の静的ルーティングとして、192.168.2.0/24 を 192.168.1.2 へまわすようにします。

直接インターネットとつながる MZK-04G は、今まで通り必要なポートを空けます。内側の MZK-W04G はポートの開放はしません。内側からインターネットや Webサーバ、 DNS へアクセスできますが、インターネットや Web サーバ側からは宅内の LAN へのアクセスはできません。
まあ、無線が動いてる時点でセキュリティに問題ありといわれればそうなんですが、無線 LAN についてはもう少し何か考えたいと思います。