ソフトウェアルーター・ファイアウォールの pfSenseを使って DMZを作ってみます。
pfSenseのセッティングに入る前に。

「pfSenseインストール」で pfSenseを使えるようにして、
「pfSenseで DMZ 1」ではDMZ(非武装地帯)を作りたいなとネットワークのナンチャッテ設計をし、
「pfSenseで DMZ 2」で、pfSenseの初期設定までやり、
「pfSenseで DMZ 3」で、WEBサーバーとして IISを立ち上げ、
「pfSenseで DMZ 4」で、DMZ(にする予定のネットワーク)に WEBプロキシとリバースプロキシを立ち上げました。

現時点の環境はこんな感じです。


いよいよ pfSenseの設定！と行きたいところですが、その前に片付けねばならない事があります。

私の環境ですが、この図の中で [VMnet0] にいるクライアント(緑色)と光ルーター(ピンク)は、[VMnet0] の中に [192.168.1.109] という IPアドレスを持つ何かがいるのは知っていますが、その先に [192.168.2.0/24] と [192.168.3.0/24] というネットワークがあるなんて知りもしません。

なので、これらの機器にやってきた [192.168.2.0/24] と [192.168.3.0/24] 宛のパケットをどこに持っていけば良いか分からないのです。

クライアント(緑色)はデフォルトゲートウェイとして、[192.168.1.1](光ルーター)を設定していますので、宛先が分からないパケットをそこに投げてきますけど、光ルータはそこで立ち往生です。


ですので、光ルーターに静的ルートを設定して、pfSenseに送ってやるようにします。

[192.168.2.0/24]宛のパケットを受け取った時	pfSense [192.1.168.1.109] に送る
[192.168.3.0/24]宛のパケットを受け取った時	pfSense [192.1.168.1.109] に送る

光ルーターの設定画面です。


この設定はウチの環境だからやっているもので、一般的に DMZを作るための必須作業ではありません。
でも皆さんのお家でもデフォルトゲートウェイはインターネットルーターになっていることが殆どと思いますのでウチとそう変わらないでしょう。

私のように家庭内LANの中にルーターを置いて複数のネットワークを構成する場合に、何で通信できないんだってことがあるかも知れません。
その時にここでの事を思い出してもらえればと思います。


「ウチは光ルーターと Wifiルーターの両方があるけど？」という場合も、Wifiルーターが NAT機能を提供していることを理解すると得心いけるでしょう。

私は Wifiルーターをブリッジモード(ルーター機能を使わない)で使っていますが、この辺りの知識でそうしています。

家庭内LAN環境だけでもちょっと深堀りしてみるとネットワークの本に書いてある事が結構出てくるもので、ネットワークのお勉強には最適じゃないかと思う次第です。

ただブッ壊すと間違いなく家族から怒られますから、作業前の状態はちゃんと記録しておいて慎重に変えていきましょうね。


「pfSenseで DMZ 6」に続きます。