- PR -

ルーターをはさんで2台のPC間でpingが通らない

«前のページへ 1|2|3|4|5 次のページへ»
投稿者投稿内容
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-12-21 15:37
こんにちわ.
引用:

BackDoorさんの書き込み (2006-12-21 10:33) より:

スタティックルーティングでも、ダイナミックルーティングでもかまいませんので
まずはnetA、netBそれぞれインターネット接続できる状況にして下さい。
次にCISCO2621にアクセスリストを追加し、netA→netBフィルタをかけて下さい。
基本的には以上で宜しいかと思います。

filtering しつつ routing するのはわかりますが,
NAT/Masq するなら BBrouter 側の routing は必要ないと認識していました.
netA→netB でだけ filter してしまったら netA 以外,
つまり外部から接続できてしまわないでしょうか?
※private で使っているならないでしょうけど.
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-12-21 16:48
綾瀬様が問題の核心を指摘されているので余計なコメント入れにくいのですが、
kaz様にはお世話になっているので・・・。

引用:

kazさんの書き込み (2006-12-21 15:37) より:

filtering しつつ routing するのはわかりますが,
NAT/Masq するなら BBrouter 側の routing は必要ないと認識していました.
netA→netB でだけ filter してしまったら netA 以外,
つまり外部から接続できてしまわないでしょうか?
※private で使っているならないでしょうけど.

「BBrouter 側の routing は必要ない」に関して
スタティックルートを設定した場合、netA内のPCのデフォルトゲートウェイを
CISCO側に変えれば不要ですが、変えない場合は当初綾瀬様が指摘された様に
必要だと思います。

「外部から接続できてしまわないでしょうか?」に関して
フィルタのかけ方次第だと思います。
アドレスに対するフィルタとプロトコールに対するフィルタを組み合わせれば
何とかなると思ってます。
アドレスに対するフィルタ
 ◎ netA(DMZ)上に実在するnodeアドレスは通過
アドレスに対するフィルタ&プロトコールに対するフィルタ
 ◎ BBRuterによりNATされたアドレスはプロトコール限定で通過
  (BBRuterのフィルタ規定値より絞れば宜しいかと思います)
   → netBからインターネット上へのHTTPリクエスト等に対する
     リプライは通す設定

設計中心で設定はできないので、フィルタに関しては間違った認識をして
いる危険性はありますが・・・。 

やはり、設定ポリシーを明確にして設定の専門家に任せた方が無難かと
思います。

修正:日本語修正 

[ メッセージ編集済み 編集者: BackDoor 編集日時 2006-12-21 19:45 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-12-21 21:20
ゴメンナサイ,脇道に逸らせていました.

ただ,DMZ が netA だとすると
引用:

「BBrouter 側の routing は必要ない」に関して
スタティックルートを設定した場合、netA内のPCのデフォルトゲートウェイを
CISCO側に変えれば不要ですが、変えない場合は当初綾瀬様が指摘された様に
必要だと思います。

BBRouter で netB の routing はするべきではないのでは?
もっとも綾瀬様の指摘されている
>・pcAからpcBへの通信はあるのか
が yes で,Cisco で NAT していなければ必要だとは思います.
その意味で本論なのかなと.
引用:

「外部から接続できてしまわないでしょうか?」に関して
省略
やはり、設定ポリシーを明確にして設定の専門家に任せた方が無難かと
思います。

ここは policy -> rule ありきなので横道に逸れていました,ゴメンナサイ.
コウジ
ベテラン
会議室デビュー日: 2006/12/18
投稿数: 54
投稿日時: 2006-12-24 19:26
返事遅くなりました。

確かにおっしゃるとおりポリシーありきですよね・・・。
そこをもっと考えて行きたいと思います。

今回はほぼ廃品でもらったルータでいろいろやろうとしているため、
正直どこまでの機能をもった代物なのかさえわかっておりませんでした。
(これもやはり最初に言うべきことでした?)

皆さんいろいろとありがとうございました。
また何か質問を投げることがあったらよろしくお願いいたします。
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2006-12-25 13:54
一週間もじもじしてました。たらおです。よろしくお願いします。
一般的なポリシーは、以下をご参考に。

・DMZ上のホストのGWは、BBルーターとする。
・BBルーターには、内部セグメントへの経路情報を持たせない。
・BBルータは 10/8(A)、172.16/12(B)、192.168/16(C)との通信をフィルタなどで禁止する。
・DMZの必要ホストのみ内部セグメントにNATを介して通信できる。
・DMZ内のホストに、内部セグメントへの経路を記述しない。

・Ciscoルーターは、DMZと内部セグメントのみ通信を許可する。
・CiscoルーターにNATを設定して、内部セグメントのメンテナンス端末や、
 監視装置などと、通信できる。
・BBルーターとNATのIP通信は監視装置などの一部ホストを除いて禁止する。


このくらいが、適当かと思われます。
内部セグメントの通信が必要な端末は、NATによりDMZ上の仮想端末として存在させます。


Internet


|↑DGW
BBRouter(グローバルIPのみ通信許可)
|↑DGW
|------公開ホスト(Webサーバー、プロキシ)

|(仮想内部ホスト)
CiscoRouter(NAT設定)

|------内部ホスト(DMZへの経路のみをRoute add)
|↓DGW

以上です。トポロジ的には、DMZというよりは、外部セグメントですね;

BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-12-26 09:29
こんにちは。

引用:

たらおさんの書き込み (2006-12-25 13:54) より:
一週間もじもじしてました。
一般的なポリシーは、以下をご参考に。
−−−省略−−−
以上です。トポロジ的には、DMZというよりは、外部セグメントですね;

ルータの機能でDMZを含むファイヤウォール環境を実現する設計ですね。
昔ファイヤウォール専用機が高かった頃はこうした構成を設計しましたので
とても懐かしく感じました。

プロキシサーバが必須になりますが、良い構成ですね。
# 最近ではこういう構成組むケースは少なくなりつつある気が・・・。
コウジ
ベテラン
会議室デビュー日: 2006/12/18
投稿数: 54
投稿日時: 2007-01-02 02:21
遅レスすいません。ポリシーまでいただいて、ありがとうございます。
ところで思ったのですが、
引用:

|------内部ホスト(DMZへの経路のみをRoute add)
|↓DGW

となるとインターネットに出ようとするパケットは出られない、ために
「DMZへの経路のみをRoute add」となると思うのですが、
これは内部のホスト数は少数である前提となるのでしょうか?
たとえば100人ぐらいいるオフィスではやらない設定なのでしょうか?というよりFW買えよ、って話なのですかね・・・
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-01-02 19:33
アドバイス内容が理解できませんでしたか?

引用:

コウジさんの書き込み (2007-01-02 02:21) より:
となるとインターネットに出ようとするパケットは出られない、ために
「DMZへの経路のみをRoute add」となると思うのですが、
これは内部のホスト数は少数である前提となるのでしょうか?
たとえば100人ぐらいいるオフィスではやらない設定なのでしょうか?というよりFW買えよ、って話なのですかね・・・

たらお様の図示された内容をよーく見て下さい。
私もプロキシサーバが必須になりますが、良い構成ですね。とコメント
付けさせて頂いてますし・・・。

どうもポリシー策定以前にネットワークの基礎学習が必要かも知れませんね。
«前のページへ 1|2|3|4|5 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)