- - PR -
DMZのサブネットについて
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2004-06-20 18:43
こんにちは。
ファイアウォールにWAN側、DMZ側、内部LAN側の 3つのポートがあるとします。 自分が持っている本だと以下のような アドレス構成のように書いてあるのですが、 各部分のサブネット構成がよくわかりません。 ・インターネットルータの外側と内側は同じサブネットなのか。 ・FWルータのWAN側とDMZ側は同じサブネットなのか。 以上の質問でおわかりのようにまったくの初心者なのですが、 どなたかお教えください。 ↑ ↓ グローバルアドレス インターネットルータ ↑ グローバルアドレス ↓ グローバルアドレス FWルータ ←→ DMZ:公開サーバ グローバルアドレス ↑ プライベートアドレス ↓ LAN | ||||
|
投稿日時: 2004-06-20 20:46
こんばんは。
2つある図のうち上の方がよく分かりにくいのですが、下の方については、DMZの部分のアドレスがグローバルアドレスというのは間違いです。DMZの部分は、プライベートアドレスになるはずですが…???サブネットというのはIPアドレスをネットワークの部分とホストの部分にわけるためのルールです。下記のアドレスを参考にして下さい。 http://www.atmarkit.co.jp/icd/root/43/5784343.html http://www.atmarkit.co.jp/fpc/netdevice/011netdevice/tcpip_basic02.html インターネットルータの方の図ですが、もう少し情報が無いと分からないと思いますよ。 | ||||
|
投稿日時: 2004-06-20 23:27
ヨッシー様、ご返答ありがとうございます!
絵と日本語が謎すぎた様ですみません。 下記ページのような状況のつもりで書いていました。 http://d-net.robata.org/d-net/build-firewall-03.html このページだとFWのWAN側インターフェースとDMZ側インターフェースの IPアドレスが同じなように見えるのですが・・・。 インターネットルータについてなのですが、インターネット側のポート とバリアセグメント側のポートでIPアドレスが同じなのか異なるのか・・ という事についての質問でした。 ルータの各ポート毎にアドレスが振られるという考えが間違いなので しょうか。 全然わかってないので質問の仕方自体が的外れなのかもしれませんが よろしくお願いします。 | ||||
|
投稿日時: 2004-06-21 09:15
こんにちは。
確かにかわしんさんの参照しているページだとそうなっていますね。 この例ではファイアウォールの外側には自分に割り振られたグローバルIPを設定し、 ルータやファイアウォール自身の外側のアドレスもグローバルにしているようです。 このサンプルのファイアウォールがどう設定できるか知りませんが、このサンプルは DMZもグローバルで設定しているようです。恐らく外と中の2セグメントの管理機能しか持っていないタイプの製品での構築例だと思います。 普通(ファイアウォールが3セグメント管理できる場合の「普通は」)はLAN側、DMZはそれぞれプライベートアドレスのネットワークにし、ファイアウォールの外側だけがグローバルを持っている、ただしDMZは物理的にはプライベートアドレスを振ってあるがファイアウォールがDMZのサーバにはグローバルアドレスも(誤解されてしまうかもしれませんが)割り振ってあげる設定が多いのでは。 例えば202.10.10.3のサーバも本当は192.168.x.xとかのIPを設定し内部からは 192.168.x.xでもアクセスできる、外からは202.10.10.3でしかアクセスできない設定にします。 (言葉だけで説明するのは厳しいですね・・・) | ||||
|
投稿日時: 2004-06-21 10:09
プロバイダからグローバルIPを8個とか割り当てられる場合、
インターネットルータの内側、FWの外側、DMZに置くサーバに それぞれグロ−バルIPを割り当てることになります。 なので同一セグメントにはなると思いますが、 他の方が述べている通り、これらが同一セグメントかどうかは 利用するFW製品によって異なります。 | ||||
|
投稿日時: 2004-06-21 10:49
普通ってなんでしょ?
私の組んだネットワークの殆どはDMZはグローバルだったりします(^^; この方がローカル(LAN)側からのアクセスがあった場合にNATせずにDMZに渡すことが可能なこともあり組み方としては楽になります。 DMZにプライベートを割付けてローカルからNATしない場合だと内向けにDNSを用意する必要もあり大変になるのでアドレスに余裕さえあればDMZはグローバルですねぇ。。。 さて本題の方なのですが、透過型のファイアウォールなんてのがあったりします。WAN側とDMZ間でネットワークを変えずに済むのが利点でSNICWALL等はこのタイプだったと記憶しています。 ファイアウォール未導入状態からアドレスを変えずに導入するケースやグローバルアドレス数が少ないケースでは有効ですが、そういう制約が無い場合はあまり採用しないケースでもあったりします。 | ||||
|
投稿日時: 2004-06-21 11:19
一般的にルーターがどういう使われ方をするかというと、ご家庭や職場などでプライベートネットワークの出口(Gateway)になることが多いと思います。 PC===>Router--->Internet PC側のネットワークは、LANです。Internet側のネットワークは、WANです。 上記のような場合でIPアドレス及びサブネットマスクを手動で設定すると、LANの方は 当然プライベートで推奨されているIPアドレスを設定します。 例)IPアドレス:192.168.1.1,サブネットマスク:255.255.255.0 WANの方は、グローバルIPアドレスを取得したりしなければ一般的には持っていないことが ほとんどかと思いますが、取得されていれば下記のように設定します。 例)IPアドレス:202.10.10.2,サブネットマスク:255.255.255.248 それでRouterの内部でNAT(ネットワークアドレストランスレーション)の機能を使います。 ルータのポートごとにアドレスを振るというのは一般的です。 この辺の記事を参考にしてください。 http://www.atmarkit.co.jp/fpc/special/bbrouter_desc/index.html | ||||
|
投稿日時: 2004-06-21 23:47
返答してくださった方々、ありがとうございます!
きょ〜じゅさまにお教え頂いた「透過型」をキーワードに ググりましたところ、ファイアウォール製品には、 NATモード/ルートモード/透過モードと動作を切り替えられる ものがあるという事を知りました。 ・NATモード WAN側・・・グローバル DMZ側・・・プライベート WAN側ポートに公開サーバのIPアドレスも割り当てて、DMZ側に 外部からの要求をフォワーディングする。もしくは、WAN側ポート は一つのIPアドレスで、ポートフォワーディングする。 FWには、WAN/DMZ/LAN側で3つのIPアドレスが必要。 ・ルートモード WAN側・・・グローバル DMZ側・・・グローバル WAN側とDMZ側は別セグメントであり、FWはルータのように WAN-DMZ間でパケットを通す。 FWには、WAN/DMZ/LAN側で3つのIPアドレスが必要。 ・透過モード WAN側・・・グローバル DMZ側・・・グローバル WAN側とDMZ側は同一セグメントであり、FWはパケットの フィルタリングをする事を除いては、(WAN-DMZ間は) ブリッジのように振舞う。 (ARPを機能させるならブロードキャストも通すのでしょうか?) FWには、(WAN-DMZ)/LAN側で2つのIPアドレスが必要。 という感じに解釈したのですが、間違い・勘違い・暴走がありましたら 御指摘いただけるとうれしいです。 ※ヨッシー様再度のご回答ありがとうございます。 お蔭でunnumbered接続について勉強できました。 | ||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。