- - PR -
Netscreen 5GTでのNAT
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-04-06 10:48
それは無理だと思いますが・・・。 可能だとすると、HTTPリクエストに対する返信先が判らなくなり、通信できない ことになります。 代替案とすれば、Proxyを間に挟む程度しか解決法は無いのでは? と思います。 編集:下記コメントを追加 Netscreenはまだ導入前でしたか? 詳細要求内容に因りますが、どうもNetscreenを導入するよりは、Proxyサーバの 導入検討に方向性を変えたほうが良さそうに思えます。 [ メッセージ編集済み 編集者: BackDoor 編集日時 2007-04-06 10:56 ] | ||||||||
|
投稿日時: 2007-04-06 11:36
BackDoorさん回答ありがとうございます。
やはり実現はできませんよね・・・。 機器自体は購入してしまっているので、VIPで構築し、 Client IPアドレスの隠蔽は不可と説得しようと思います。 これまでお付き合い頂きありがとうございました! | ||||||||
|
投稿日時: 2007-04-07 11:02
こんにちは。
えーと、ScreenOSのリファレンス見る限りでは、普通にできそうですが…。 ただ、実機を見て言っているわけではないので、保証はしません。 実機購入前の検討状態なら、販社等にウラはとってください。 ※5GT を使った経験はない ( 25以上しかない ) ので、機種によって制限があるのならば分かりませんが。多分関係ないところだと思いますがね…
というのは、確かに謎ですけどね。 VIPで、 UntrustポートのアドレスのTCP80番→サーバのアドレスのサービスポート ポリシーで、 Untrust-Any ( もしくはアクセスさせたいクライアントを別個指定 )→ VIP:80 を許可 + 詳細設定で Src NAT 指定 という設定かと。 なお、リファレンスマニュアル8章の「NAT-Src - Egress インターフェースIP アドレスに変換」を想定しています。 [ メッセージ編集済み 編集者: angel 編集日時 2007-04-07 11:55 ] | ||||||||
|
投稿日時: 2007-04-07 11:07
細かいところですが、
DMZにWeb/APサーバ、TrustにDBサーバといういうな構成であれば 5GT Extended が必要ですけど、スタンドアロンの公開Webサーバであれば Extended は必要ないですよね? ( Trust に Webサーバ ) | ||||||||
|
投稿日時: 2007-04-07 11:55
angel様、補足ありがとうございます。
この設定で可能になるとは知りませんでした。勉強になりました。
確かに可能です。 ただ個人的には、公開Webサーバがハックされた場合Trust側は公開Webサーバを踏み台に アクセス可能になる危険性があるので好まない構成ですね。 # 心配症なんで・・・。気にしないで下さいwww | ||||||||
|
投稿日時: 2007-04-07 13:09
お返事ありがとうございます。BackDoorさんのお気持ちは良く分かります。 ゆえに「スタンドアロンの」と限定したわけでして。 いえ、少し前にこのような経験があったもので。 angel:インターネット公開Webサーバ保護用に、Netscreen5GTを採用しようと考えているのですが。 販社:公開サーバ用であれば、DMZをサポートしたExtendedが必要ですよ。 angel:(インターネット)-[Netscreen]-[サーバ(1台)] というスタンドアロンの構成なのですが。 販社:公開サーバ用であれば、Extendedが必要ですよ。 angel:他の機器をつなぐ予定はないので、3ゾーンも必要ないのですが、Extendedでなければ実現不可能ですか? 販社:… ( 注:もちろん脚色は入っています。が、やりとりした内容はこんな感じで。 ) 追記:「スタンドアロン」というと、普通は「何処にもつながっていない」という意味になるのでしょうかね…。そうすると上の文章はヘンですね。 [ メッセージ編集済み 編集者: angel 編集日時 2007-04-07 13:20 ] | ||||||||
|
投稿日時: 2007-04-09 12:01
BackDoorさん
angelさん 返信ありがとうございます。 angelさんの回答を見て目から鱗の気分です・・・。 リファレンスを参照しましたが、確かに実現出来る可能性はありますね・・・。 こちらの件は代理店に確認してみます! | ||||||||
|
投稿日時: 2007-04-09 21:41
ポイントは、NATテーブルがI/Fごとに処理できるのか、
内部で一回しかNAT処理できない構造なのかの違いだと思います。
NATの実装では、暗黙のフィルタを作成し、フィルタに合致すれば フィルタアクションとしてIPパケットヘッダを書き換えます。 ということは、IN方向にもOUT方向にもフィルタが記述できる機器なら、 本件の要件を果たすことができると考えられます。 前述×の内部構成でも、NATテーブルの仕様によっては、 送信元と送信先を同時に書き換え可能だと思います。ファームウェア次第ですね。 スループットを優先するなど、意図的な制限があれば別ですが。 普通にINとOUTのフィルタが書けるなら、NAT恐るるに足らずです。 _________________ _福田太郎_ |