- PR -

DMZからのWEBアクセス設定

1
投稿者投稿内容
やーまだ
会議室デビュー日: 2008/05/05
投稿数: 5
投稿日時: 2008-05-05 21:26
初めて質問させていただきます。
自宅サーバを構築中です、CENTOS5です。
下記のようなネットワーク構成です。
外部--ADSLルータ--F/W--DMZ
ADSLルータより内側はプライベートアドレスで下記のようにアドレス付与しています。
ADSLルータ(192.168.3.1)--(192.168.3.7)F/W(192.168.10.1)--(192.168.10.2)DMZ
メンテナンス時にF/W、DMZからWEBアクセスを行い、ソフトウェアのアップデート等を行いたいのですが、F/Wからのアクセスはできるのですが、DMZからのWEBアクセスがうまくいきません。

DMZのネットワーク設定は
/etc/sysconfig/network
NETWORKING=yes
NETWORKING_IPV6=yes
HOSTNAME=localhost.localdomain

/etc/resolv.conf
search localdomain
nameserver 192.168.3.1

/etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=none
HWADDR=00:0x:xx:xx:xx:xx
TYPE=Ethernet
USERCTL=no
IPV6INIT=no
PEERDNS=yes
NETMASK=255.255.255.0
IPADDR=192.168.10.2
GATEWAY=192.168.10.1

F/WでDMZからのパケットをADSLルータへNATするように設定しています。
DNS問い合わせパケット(ポート:53)を転送していますが、返答が帰ってきていません。
なにか、設定が足りないのでしょうか?
ネームサーバの設定周りがどうなのかな、という気がしていますがいろいろ試行錯誤してみてもなかなか糸口がつかめません。

どなたか、ご教授いただけませんでしょうか。よろしくお願いします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2008-05-05 22:24
こんばんは.
引用:

やーまださんの書き込み (2008-05-05 21:26) より:

F/WでDMZからのパケットをADSLルータへNATするように設定しています。
DNS問い合わせパケット(ポート:53)を転送していますが、返答が帰ってきていません。

それで,DMZ とやらから ADSL router は通信できるのですか?
ちなみに DNS の問い合わせは 53/udp ですが,
firewall で通信を accept しているのは 53/udp ですよね?
設定が足りないのは firewall かもしれませんので,
そちらの情報も必要だと思います.
やーまだ
会議室デビュー日: 2008/05/05
投稿数: 5
投稿日時: 2008-05-06 01:46
ADSLルータへはudp/53のパケットはNATで転送しています。
以下、抜粋です。

MUL_PORT2="http,https,ftp,domain,bootpc,bootps"
MUL_PORT3="ntp,domain,bootpc,bootps"
# サーバ2からのDNS問い合わせを転送
$IPTABLES -A PREROUTING -t nat -p udp -d 192.168.10.1 --dport 53 -j DNAT --to 192.168.3.1:53 -i $NIC1
# 外部のntp,dnsサーバへのアクセスを許可(GUIモードの場合)
$IPTABLES -A FORWARD -p udp --dport domain -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport domain -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT
$IPTABLES -N ext-dmz # 外部からDMZへのパケット
$IPTABLES -N dmz-ext # DMZから外部へのパケット
#
$IPTABLES -A FORWARD -s ! 192.168.0.0/16 -d 192.168.10.2 -o $NIC1 -j ext-dmz
$IPTABLES -A FORWARD -s 192.168.10.2 -d ! 192.168.0.0/16 -o $NIC0 -j dmz-ext
#====== サーバ2上のクライアントプログラム
# 外部のhttp,https,ssh,ntpサーバへのアクセスを許可(GUIモードの場合)
$IPTABLES -A dmz-ext -p tcp -m multiport --dport $MUL_PORT2 -j ACCEPT
$IPTABLES -A ext-dmz -p tcp -m multiport --sport $MUL_PORT2 -j ACCEPT ! --syn
# 外部のntp,dnsサーバへのアクセスを許可(GUIモードの場合)
$IPTABLES -A dmz-ext -p udp -m multiport --dport $MUL_PORT3 -j ACCEPT
$IPTABLES -A ext-dmz -p udp -m multiport --sport $MUL_PORT3 -j ACCEPT

どうも、名前解決がうまくいっていないのではないかと思います。
というのも、IPアドレス直打ちだととりあえずページの一部(文字)がブラウザに表示されます。しかし、url名だとタイムアウトとなってしまいます。
やーまだ
会議室デビュー日: 2008/05/05
投稿数: 5
投稿日時: 2008-05-06 02:06
ADSLルータと同セグメントにいるF/W機は名前解決できているけど、DMZは別セグメントのためにできないということですかね。。。
内部ホストの名前解決方法という問題になってきた気がします。
通常どのような手段で行っているのでしょうか?内部向けのDNSサーバなどを立てたりするのでしょうか?
水都
大ベテラン
会議室デビュー日: 2004/07/22
投稿数: 111
投稿日時: 2008-05-06 15:55
引用:

# 外部のntp,dnsサーバへのアクセスを許可(GUIモードの場合)
$IPTABLES -A FORWARD -p udp --dport domain -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport domain -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT


同じ行がありますけれど、これ片方はsportの写し間違いではなくて?
サーバ側は53ポートですがクライアント側はそうではありませんし
やーまだ
会議室デビュー日: 2008/05/05
投稿数: 5
投稿日時: 2008-05-06 20:03
引用:

水都さんの書き込み (2008-05-06 15:55) より:
引用:

# 外部のntp,dnsサーバへのアクセスを許可(GUIモードの場合)
$IPTABLES -A FORWARD -p udp --dport domain -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport domain -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT


同じ行がありますけれど、これ片方はsportの写し間違いではなくて?
サーバ側は53ポートですがクライアント側はそうではありませんし


おお、と思い見直しましたが、スクリプトはsportにしていました。こぴぺミスのようです。すみませんです。

どうも無理っぽいので、ネットワーク構成を見直すこととしようかと思っています。
ADSLルータから同一セグメント内に2台のサーバをぶら下げるようにすることにいたします。貴重なご意見いただきましてありがとうございました。
やーまだ
会議室デビュー日: 2008/05/05
投稿数: 5
投稿日時: 2008-05-07 21:52
自己解決しました。
IPマスカレードがtcpのみだったため、udpもマスカレードするよう修正。
また、GATEWAYアドレスへの送信パケットについてマスカレードしていなかったため、マスカレードするよう修正。
すると無事外部接続ができるようになりました。
いったんあきらめかけましたが、先に進めそうです。
1

スキルアップ/キャリアアップ(JOB@IT)