- - PR -
YAMAHA RTX1000 NATの設定
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2007-01-10 18:34
環境:
YAMAHA RTX1000 WAN側GW:210.10.10.65 WAN側IP:210.10.10.67 LAN側IP:192.18.10.253 LAN内web server1:192.18.10.191 LAN内web server2:192.18.10.192 DNS正引きwww.xxx.co.jp=210.10.10.67 DNS正引きwww.yyy.co.jp=210.10.10.67 YAMAHAの設定: ip route default gateway 210.10.10.65 @ip lan1 address 192.18.10.253/24 ip lan1 intrusion detection in on reject=on ip lan1 nat descriptor 1 Aip lan2 address 210.10.10.67/29 ip lan2 secure filter out ...(省略) ip lan2 intrusion detection in on reject=on ip lan2 nat descriptor 2 nat descriptor type 2 masquerade nat descriptor address outer 2 210.10.10.67 nat descriptor address inner 2 192.18.10.191-192.18.10.192 Bnat descriptor masquerade static 2 1 192.10.10.191 tcp www Cnat descriptor masquerade static 2 2 192.10.10.192 tcp www Dip host www.xxx.com.cn 192.18.10.191 dns static cname www.xxx.com.cn mail.xxx.com.cn dns static ptr 192.18.10.191 www.xxx.com.cn Eip host www.yyy.com.cn 192.18.10.192 dns static cname www.yyy.com.cn mail.yyy.com.cn dns static ptr 192.18.10.192 www.yyy.com.cn 説明: @LAN側のIP設定 AWAN側のIP設定 B192.18.10.191のWEBサーバへのwwwポートのみを許可 C192.18.10.192のWEBサーバへのwwwポートのみを許可 Dwww.xxx.com.cnからのアクセスは192.18.10.191へ Ewww.yyy.com.cnからのアクセスは192.18.10.192へ 、というようにしたいのですが、 Cで「エラー: ポート情報が認識できません」が出てきます。 ネットワークの経歴は浅いのですが、 基本的な所、勘違いしているかと考えています。 ご教授ください。 よろしくお願いいたします。 | ||||
|
投稿日時: 2007-01-10 21:32
YAMAHAルータは触ったことありませんので、
超一般論での切り分けです。
BはOKで、Cはエラーになるのであれば、「static x y」 の y が怪しいですよね。 このパラメータ x y は何を意味するものか調べましたか? BもCもエラーになるのであれば、www が怪しいかなと。 www = 80 の関連付けができていないとかいうことはありませんか。 | ||||
|
投稿日時: 2007-01-10 23:57
同じくYAMAHAのルータのことはわかりらないのでエラーの理由だけ。
おそらく3と4で同じポート番号を指定しているからでしょう。 210.10.10.67のポート80へのアクセスを、LANのサーバへ転送する設定だと思うのですが、 1つのポートで2つのサーバへ転送するような設定はできません。 どちらかを別のポート番号にすればエラーは出なくなると思います。 これでやりたい事が実現できるかどうかはわかりませんが。 [ メッセージ編集済み 編集者: ant 編集日時 2007-01-11 00:00 ] | ||||
|
投稿日時: 2007-01-11 10:33
こんにちは。
やはりご自身で設定内容を理解できてないとマズイと思います。 RTシリーズの資料庫/文書庫 上記からLinkされた先のここですね。 ブロードバンドルータの設定事例集 | ||||
|
投稿日時: 2007-01-11 12:40
DNS正引きwww.xxx.co.jp=210.10.10.67
DNS正引きwww.yyy.co.jp=210.10.10.68 ←IP追加必須 2つのWebサーバーが異なるURLということは、 負荷分散を実現したいのではないと解釈します。 こんな感じでしょうか。 ┌GW:210.10.10.65/29 | |LAN2:210.10.10.67/29|(210.10.10.68/29) [ RTX-1000 ] |LAN1:192.10.10.253/24 | ├WWW1:192.10.10.191 ├WWW1:192.10.10.192 | nat descriptor type 2 static nat descriptor address outer 2 210.10.10.67 nat descriptor address inner 2 192.18.10.191 nat descriptor type 3 static ←NAT二つ目 nat descriptor address outer 3 210.10.10.68 ←追加NAT用仮想IP nat descriptor address inner 3 192.18.10.192 フィルタ設定は適切な修正が必要かと思われます。 TCPポートでの制御が必須なら、Masquarade記述に変換してみてください。 ____________ _福田太郎_ [ メッセージ編集済み 編集者: たらお 編集日時 2007-01-11 12:51 ] | ||||
|
投稿日時: 2007-01-11 14:19
Tasukuさん、antさん
ご回答、ありがとうございます。 「static x y」を事前に調査していました。 [x]-->ip lan1 nat descriptor 1 [y]-->静的IP マスカレードエントリの識別情報(プラス1していきます) > おそらく3と4で同じポート番号を指定しているからでしょう。 たぶんその通りですね。 調べているうちに、私はやりたいことと違った方向へ行ってしまったことが気づきました。 確かに「nat descriptor masquerade static」とは、 IP マスカレードによる通信でポート番号変換を行わないようにポートを固定することであって、 私がやりたいのは、 www.xxx.com.cnからのアクセスは192.18.10.191へ www.yyy.com.cnからのアクセスは192.18.10.192へ のことです。 で、すみませんが。 ソースをもう一度整理してみました。 ip route default gateway 210.10.10.65 ip filter source-route on ip lan1 address 192.18.10.253/24 ip lan1 intrusion detection in on reject=on ip lan1 nat descriptor 1 ip lan2 address 210.10.10.67/29 ip lan2 secondary address 210.10.10.68/29 (グローバルIPを一個追加) ip lan2 secure filter out ...(省略) ip lan2 intrusion detection in on reject=on ip lan2 nat descriptor 2 nat descriptor type 2 masquerade nat descriptor address outer 2 210.10.10.67-210.10.10.68 nat descriptor address inner 2 172.18.10.191-172.18.10.192 nat descriptor static 2 1 210.10.10.67=192.18.10.191 1 (静的NAT エントリの設定に変更) nat descriptor static 2 2 210.10.10.68=192.18.10.192 1 (静的NAT エントリの設定に変更) DNSサーバの設定を変更しました: DNS正引きwww.xxx.co.jp=210.10.10.67 DNS正引きwww.yyy.co.jp=210.10.10.68 (210.10.10.68->210.10.10.68に変更) 結果: www.xxx.co.jpのWEBが正常に表示できて、 www.yyy.co.jpのWEBが開かれず、YAMAHA rtx1000のWEB設定画面が表示されます。 どこかで間違いがあったのでしょうか。 ここまでは、午前中一所懸命考えたのですが、スレッドを書き込もうとしたら、 またBackDoorさんとたらおさんの書き込みがありました。 とりあえず、ここまでのまとめを書き込みます。 | ||||
|
投稿日時: 2007-01-11 17:29
すみません、作法レベルで外してました;
nat descriptor address outer 1 <IF1_ip> #NAT IDと外部I/Fのマップ nat descriptor address inner 1 <IF2_ip> #NAT IDと内部I/Fのマップ nat descriptor static 1 1 <outer_ip>=<inner_ip> <range> #変換アドレスの宣言 先の2行は、NAT IDとインタフェース間の転送の設定と思われ、 当該インタフェイスの「実IP」を指定するようです。失礼しました。 3行目は、IPヘッダのアドレス書換操作の設定で、 nat descriptor static 1 1 210.10.10.67=192.18.10.191 2 のように連続したアドレスは一括指定できるようです。 見たところ現在の設定に、Masquaradeの部分が残っていますが、 このあたりを削除して、再起動してみてください。 _________________ _福田太郎_ | ||||
|
投稿日時: 2007-01-12 10:34
たらおさん、BackDoorさん
こんにちは。 他の業務で返答が遅れました。すみません。 BackDoorさんが指摘通りです。 nat descriptor masqueradeの定義を改めて勉強したため、 少しは見えてきました。ありがとうございました。 たらおさん、ありがとうございました。 確かに1個のグローバルIPでまかなうのがまずい発想でした。 1個のグローバルIPでやるとしたら、 負荷分散という装置が必要になってくるんですね。 で、ご指摘のように、Masquaradeの部分消したら、 うまくいきました。 ソースを残していきます。 ip lan1 address 192.18.10.253/24 ip lan1 intrusion detection in on reject=on ip lan1 nat descriptor 1 ip lan2 address 210.10.10.67/29 ip lan2 secondary address 210.10.10.68/29 ip lan2 secure filter out ... ip lan2 intrusion detection in on reject=on ip lan2 nat descriptor 2 nat descriptor type 2 nat nat descriptor address outer 2 210.10.10.67-210.10.10.68 nat descriptor address inner 2 192.18.10.191-192.18.10.192 nat descriptor static 2 1 210.10.10.67=192.18.10.191 1 nat descriptor static 2 2 210.10.10.68=192.18.10.192 1 ありがとうございました。 | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。