- - PR -
ルータを2台利用してDMZ環境を構築
1
| 投稿者 | 投稿内容 | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-03-24 13:56
初心者です。
サーバの構築について質問させてください。 下図のようにルータを2台利用してDMZ環境を構築しています。 [ Internet ]---[ ルータA ]---------[ ルータB ]---[ LAN ] | L---[ DMZ ] | [ サーバA ] 公開サーバ用にグローバルIPを8つもらっていて(XXX.XXX.XXX.111〜XXX.XXX.XXX.118) 以下のように割り当てています。 XXX.XXX.XXX.111 ネットワークアドレス XXX.XXX.XXX.112 ゲートウェイアドレス XXX.XXX.XXX.113 ルータAのWAN側IPに設定 XXX.XXX.XXX.114 サーバAのTCP/IPの設定にて設定(Win2k) XXX.XXX.XXX.115 空き XXX.XXX.XXX.116 空き XXX.XXX.XXX.117 空き XXX.XXX.XXX.118 ブロードキャストアドレス 192.168. 1. 1 ルータAのLAN側IPに設定 192.168. 1. 9 ルータBのWAN側IPに設定 192.168. 0. 1 ルータBのLAN側IPに設定 以上のようにIPを設定し、ルータAのunnumbered機能を用いて 外からサーバAのグローバルIPを見れるように設定しました 以下の質問です。 1.この場合、ルータAはサーバAへのアクセスを受けるとそのまま サーバAに転送する動きになると思います。ポートによる制御も行って いないのでルータAはファイアウォールの機能は一切ないと 判断していいのでしょうか? 2.ならばルータBにてファイアウォールの機能を利用する考えでいいのでしょうか? 3.それとも、 XXX.XXX.XXX.111 ネットワークアドレス XXX.XXX.XXX.112 ゲートウェイアドレス XXX.XXX.XXX.113 ルータAのWAN側IPに設定 XXX.XXX.XXX.114 空き XXX.XXX.XXX.115 空き XXX.XXX.XXX.116 空き XXX.XXX.XXX.117 空き XXX.XXX.XXX.118 ブロードキャストアドレス 192.168. 1. 1 ルータAのLAN側IPに設定 192.168. 1. 2 サーバAのTCP/IPの設定にて設定(Win2k) 192.168. 1. 9 ルータBのWAN側IPに設定 192.168. 0. 1 ルータBのLAN側IPに設定 とし、ポート番号を見てサーバAに転送する設定をルータAに持たせたほうがいいのでしょうか? その場合、グローバルIPを使っていないことになりますが・・・・? 4.自宅サーバ関連のページを見るとポートによる制御を行っているようです。 これって、グローバルIPが1つで複数のサーバマシンを立てるために やってるんですか? 以上です。長くなりましてすみません。 ご教授の程、よろしくお願いします。 [ メッセージ編集済み 編集者: ダンカン 編集日時 2005-03-24 13:57 ] [ メッセージ編集済み 編集者: ダンカン 編集日時 2005-03-24 13:58 ] | ||||||||||||||||||||
|
投稿日時: 2005-03-24 14:28
その辺はルータの機能次第なので、型番も全設定内容も分からない状態で ファイアウォール機能が有効か否か、ファイアウォール機能が実装されているか否か、 を答えることなんて出来ません。 アドレス変換の仕組みとファイアウォール機能は別物ですし。
何をどこから守るためのファイアウォール機能なのかわかりません。 ルータBだと、インターネットからLANを守れますが、 インターネットからサーバAを守ることはできません。
それで十分やりたいことを実現できるんだと判断するなら、それでもいいとは思います。 どちらがいいかなんてケースバイケースです。
大抵はそうですが、そうとは限りません。 どのアドレスのどのポートへの接続を、どのサーバに割り振りたいか、 っていう設計があり、それ次第でどちらの技術を使うか判断した結果、 いずれかに決まったり、どっちでも問題ないからどっちか選んだりするわけです。 | ||||||||||||||||||||
|
投稿日時: 2005-03-24 14:37
こんにちわ.
ほんとうに外から見えているんでしょうか? server A は global な IP address ではなく private な IP address を割り当てて, router A で NAT したりするのではないかと... その状態で外から見えているとなると, router の機種を公にされたほうが宜しいと思います.
NAT しているならとくに入れる必要はないと思います. 外からの接続が許可されている通信については, それが「正しい通信か?否か?」に関わらず通してしまうのが Firewall の一般的な機能ですので, NAT に隠蔽された private な network が外部との通信で NAT をせずに確立できないのですから. port のよる制御だけが Firewall とは限りませんし.
できれば「入れた方がよい」という程度かと.
一般的に NAPT と呼ばれる仕組みです. server A に global IP address を振らなくても成り立ちます.
とも限りませんが,そのような副次的効果があります. つまり「できれば1つの IP address に見せたい」場合もあるかと. Firewall とは「機能それ自体」というより, それらの機能を使った「環境」と捉えた方が宜しいかと. なので,NAT しただけでも守れる場合がありますし, NAT した上で個々の server が単独で personal firewall な機能を実装するのも 一つの在り方です. つまり,考え方の問題なので, 明確に「何を守りたいのか?」「何から守りたいのか?」から組み立てていくと宜しいかと. 以上,拙いですが,ご参考までに. | ||||||||||||||||||||
|
投稿日時: 2005-03-24 16:16
ここらへんを整理して見ると分かりやすいかな…と思うのですが。
1. ルータの内/外でのアドレス体系 1-1. 内・外間で変換の必要なし(内/外ともグローバルアドレスの場合等) 1-2. 内・外間で変換の必要あり(外はグローバル、内はプライベート等) 1-3. 混在(外はグローバル、内はグローバル・プライベート混在等 … 所謂 GapNAT) 2. ルータから見た外→内の通信 2-0. 外→内の通信は無い 2-1. アドレス変換無し 2-2. アドレス変換有り(ポート制限無し) 2-3. アドレス・ポート変換有り、もしくはアドレス変換有り・ポート制限有り 3. ルータから見た内→外の通信 3-0. 内→外の通信は無い 3-1. アドレス変換無し 3-2. アドレス変換有り 3-3. アドレス・ポート変換有り(IPマスカレード) 大体ありそうなのが、ここら編でしょうか。 これを、ルータA、ルータBそれぞれで、どのような組み合わせを使っているかまとめてみては? 後、細かい点なのですが、 通常IPアドレス8個割り当てというと、X.X.X.64〜X.X.X.71 のように、先頭のアドレスは8で割り切れる数が使われます。 そのように書いていただいた方が混乱しないかな…、と。 | ||||||||||||||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。