- - PR -
PIXにてNAT
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2008-09-24 14:45
PIX515E、6.3(5)
社外公開サーバ用にPIXにてグローバルIP→プライベートIPのNAT設定をしています。 社外からは問題なくアクセスできます。 社内からも同じFQDNでアクセスしたいのですが、 社内からだとグローバルIPへのアクセスがタイムアウトしてしまいます。 PIXで転送が止まってしまっていることが予想されるのですが、 何か解決する方法がないかご存知の方、ご教示願います。 宜しくお願い致します。 | ||||||||
|
投稿日時: 2008-09-24 18:24
こんばんは.
それは NAT で処理するものではなく,DNS で処理するものでは? 外部へ公開している FQDN で名前解決できるからこそ, global IP address で接続できるわけですから, 内部向けに private IP address で接続できるように 内部向けの FQDN を設定してはいかがですか? | ||||||||
|
投稿日時: 2008-09-24 20:23
半端なアドバイスをしたらかなり危険な気が・・・。
ネットワーク図の提示が無いので判りませんが、DMZはプライベートアドレス でしょうか? # どうもPIX自体の設定だけでなく、ネットワーク設定を含めて購入先のSIベンダに # 相談した方が良さそうに思えます。 | ||||||||
|
投稿日時: 2008-09-25 11:03
返信ありがとうございます。
説明が分かりにくくてすみません。 クライアントからfoo.bar.comでアクセスを試みると100.100.100.100へとびますが、 出口であるPIXでNATしているため処理がうまくいっていないようなのです。 bar.comは外部DNSに登録してありますので、同じものを社内DNSに登録することはできません。 DNSレコード: foo.bar.com IN A 100.100.100.100 PIX上のNAT設定: 100.100.100.100⇔192.168.1.1 インターネット | ルーター | PIX ーーー公開サーバー(192.168.1.1) | クライアント(192.168.2.1) SIにも問い合わせてみます。 | ||||||||
|
投稿日時: 2008-09-25 21:23
こんばんは.
理由になっていないような気がします. 外部 DNS を参照して欲しいのは外部から接続する人たちで, 内部 DNS を参照して欲しいのは内部からの通信なのでは? なんのために社内 DNS があるのでしょう?
この場合,NAT な内部 -> DMZ の通信にも適用されるのでしょうか? PIX は良く知りませんが,この辺も firewall の rule として設定するではないかと. つまり,外部 -> DMZ の通信の際に NAT されるのと, 内部 -> DMZ の通信で NAT するのは別の rule なのかと. ※違ってたらゴメンナサイ. 内部からも外部からも同じ FQDN で接続するとして, 同じ IP address でなければならないわけではないと思います. | ||||||||
|
投稿日時: 2008-09-26 08:11
問題点の切り分けをして見ましょう。
社内クライアントのブラウザに http://192.168.1.1 と指定して公開サーバへアクセスは可能な状況でしょうか? → アクセス出来ない状況ならPIXのルーティング設定の見直しが必要です。 アクセス可能な状況ならば、kazさんも同様の指摘をされてますが、 社内からも同じFQDNでアクセスしたい との要求には内部DNSへの登録が最も容易な対応だと思います。 # まあ、社内なのでIPアドレス直打ちでも良さそうな気もしますが。 | ||||||||
|
投稿日時: 2008-09-26 13:01
PIXでInsideからOutside、DMZ(security Lvの高いInterfaceからsecurity Lvの低いInterface)へのアクセスの際、NAT Addressでアクセスできないのは仕様だったはずです(うろ覚えで恐縮ですが)。
#ちなみに逆NAT(Inside→DMZ等)が設定できないのも仕様です。 ですので、ご質問のInsideからDMZへのServerへのアクセスはNATしていないAddressにて行ってください。 どうしてもURLでアクセスしたい! というのであれば、workaroundとしては、 1)皆さん仰られている通り、DNSで解決する(view機能を使って、内部からの名前解決はプライベートを返答するようにする等) 2)hostsを書く くらいでしょうか。 他のFirewallならできるのかもしれませんが、自分の知識の範囲内ではなかったような気がします(NetScreenできたっけかなぁ……)。 # 日本語が変だったのを修正 [ メッセージ編集済み 編集者: Wind 編集日時 2008-09-26 13:03 ] | ||||||||
|
投稿日時: 2008-09-26 18:52
>社内クライアントのブラウザに
>http://192.168.1.1 >と指定して公開サーバへアクセスは可能な状況でしょうか? これは可能です。 モバイル機で社内からも社外からも設定変更なしで、同じURLでアクセスしたいというのが希望です。 PIXの仕様であればどうしようもないです。 view機能は使えないDNSですので、hostsしかないのかなと。 現在は数が多くないので取り敢えずそれで対応したいと思います。 皆様ありがとうございました。 |