- - PR -
ルーターをはさんで2台のPC間でpingが通らない
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-12-19 13:16
よく読み返したら
DMZ構築が目的ということであれば、単純にルーティングさせてはダメで、 CISCOでIP Masqueradeしたほうが良いですね。。 PC1からPC2側へすんなり入れるようにしてしまってはDMZの意味がありません。 よって今回の私の話は忘れて、IP Masqueradeをする方向で考えたほうが良いかと思います。 CISCOではIP Masqueradeのことを「PAT」と呼んだりしますので、これについて調べてみれば config例なども出てくるかと思います。 #目的は最初に書いてくれるとありがたかったかなーと思ったり。 読み落とした私も悪かったです。。 [ メッセージ編集済み 編集者: 綾瀬 編集日時 2006-12-19 13:23 ] | ||||||||
|
投稿日時: 2006-12-19 13:30
私も綾瀬様と同様に終わるのは早いと思います。
BBRuterにはデフォルトでファイアウォール機能が付いていますが、最近の 高度なアタックまで防げると思わないほうが幸せになれます。 kaz様、綾瀬様も指摘されてるようにCISCO2621にPAT(NAPT)の設定を入れるとか、 ACLフィルタを設定する等の対応をされることを推奨します。 | ||||||||
|
投稿日時: 2006-12-19 16:26
ありがとうございます! そうなんです、DMZにするにはどうしたらいいのか、っていろいろググッてもなかなか出てこないもので、困っていました。 BBRouterでフィルターかけてますが、明らかに非力と思われるので、2521でセキュリティ強化を図りたい、と思っての購入でした。
すいません、とりあえず基本がなっていないのでとりあえず目の前の問題から、と思っておりました。隠してたわけではないのですが、質問者としては今回順を追っていろいろ提起してもらえたのはうれしい流れです。(ごめんなさい、えらそうですね) CISCOでNAPTですね、これを設定すると以下のことができると思ってよいですか? 1.NetworkA(netA)からnetBにはpingが飛ばない。(あらゆるパケットが止められる) 2.netBからnetAにはpingが飛ぶ 3.InternetからDMZ内のWebサーバにはアクセスできるが、1のため、netBには入れない 4.netBからInternetにアクセスできる。 前提条件:BBRouter、CISCOともにお互いのルーティング情報を保持する必要がある。つまり今回追加設定したBBRouterのnetB情報は削除しなくてよい。 でよろしいでしょうか? | ||||||||
|
投稿日時: 2006-12-19 17:40
ようやく本論開始でしょうか。何か疲れた・・・。
パケットを止めるのはACL(アクセスリスト)機能の方です。 NAPT(IPマスカレード)はあくまでもNATの拡張機能ですので誤解の無いように。 一般的には必要最小限のポートに絞ります。但し私はIOSのconfigはわからない ので詳細設定方法にアドバイスはできません。 
イメージ的にはIOS Firewall FeatureSetによる設定事例辺りが参考になるかと。 注)IOSの種類が違う(Firewall FeatureSetでない)ので詳細はご自身で調べるか 購入されたSIベンダに確認して下さい。 | ||||||||
|
投稿日時: 2006-12-19 17:45
こんばんわ.
1は B -> A 方向に Masq すればその通りです. static NAT すると通信が可能になってしまいます. この辺は「NAT/NAPT とはなんぞや?」を学べば普通にわかる内容です. また,NAT/NAPT するなら BBRouter で netB への routing は必要ありません. あくまでも netA と netB を real な IP address で通信させるための必要で, NAT のように transrate する場合は必要ないわけです. | ||||||||
|
投稿日時: 2006-12-21 04:03
皆様、アドバイスありがとうございました。
この数日投稿もせずにただ怠けていたわけではなく、IOSの種別によっていろいろな機能があること、ACCESS-LISTとは何ぞや?の基本のおさらい、などを勉強しておりました。 CISCOルータに関する知識が深まってきたような感じがします。
IOSっていうのはどこでもDLできるものではないのですね・・・。半日探しました。 いただいたリンクは熟読させていただきました。
masqしました。netBからはnetAのノードにPINGが飛んで、netAからはnetB宛のpingが遮断されました!PC2からはインターネットも見られます! (ただPC1からCICSO-Aにpingを投げるとCISCO-BのIPアドレスで帰ってきますが、これは正しい動きですか?) そこで、BBRouterに設定していたnetBの静的ルーティングを削除したところ、PC2からBBRouterにpingがとばなくなり、またPC2からインターネットも見れなくなりました。 netBからだけではなく、CISCOルータからもBBRouterにpingが飛ばなくなりました。 再度BBRouterにnetBの静的ルーティングを追加したら見られるようになりました。 設定に間違いがあるのでしょうか・・・? 思い当たる節があるようでしたらまた・・・、お願いいたします。 | ||||||||
|
投稿日時: 2006-12-21 10:33
あれ、戻っちゃいました?
色々と変更されている様子なので、現状の設定がどうなっているのか不明ですが 落ち着いて整理して考えて見ましょう。 スタティックルーティングでも、ダイナミックルーティングでもかまいませんので まずはnetA、netBそれぞれインターネット接続できる状況にして下さい。 次にCISCO2621にアクセスリストを追加し、netA→netBフィルタをかけて下さい。 基本的には以上で宜しいかと思います。 蛇足ですがフィルタについては 1.BBRuterのフィルタ情報を確認し通過しているプロトコルを確認。 2.netBに通さないほうが良いものをCISCO側に追加。 といった感じが現実的で判り易いかと思われます。 # 企業によりメール環境とかnet利用するコンテンツが異なるので一般論です。 | ||||||||
|
投稿日時: 2006-12-21 12:59
結局、どのようなポリシーにしたいのかが定まっていないので、実装方法の話まで
持っていけないってとこですかね。 例えば ・pcAからpcBへの通信はあるのか (NetB側にDB置きたいとか、そんな要件があるのかなど) ・netBからnetA/インターネット側への通信をどのくらい許すのか (何でもありなのか、ポート単位で許可/不許可するのかなど) などなど。あげればキリがないですが。 機器の設定方法以前に、まずは明確なポリシーを決めないことには始まりません。 逆に言えば、こういったポリシーが明確でないと本来は機器選定もできません。 ポリシー決めたけど実は買った機器ではその設定ができませんでした、というのでは 本末転倒ですし^^; (現実的には機器ありきでその中でポリシーをって場合があるのもわかるんですけど(笑)) 今回CISCOルータを用意した際に、自分がやりたいことがこの機器で実現できるかを 調べたと思いますが、その時はDMZをどのようなポリシーで構築しようと思っていたのでしょうか? | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。