- PR -

PIXにてNAT

1|2 次のページへ»
投稿者投稿内容
gogan
会議室デビュー日: 2008/09/24
投稿数: 3
投稿日時: 2008-09-24 14:45
PIX515E、6.3(5)

社外公開サーバ用にPIXにてグローバルIP→プライベートIPのNAT設定をしています。
社外からは問題なくアクセスできます。
社内からも同じFQDNでアクセスしたいのですが、
社内からだとグローバルIPへのアクセスがタイムアウトしてしまいます。
PIXで転送が止まってしまっていることが予想されるのですが、
何か解決する方法がないかご存知の方、ご教示願います。
宜しくお願い致します。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2008-09-24 18:24
こんばんは.

それは NAT で処理するものではなく,DNS で処理するものでは?
外部へ公開している FQDN で名前解決できるからこそ,
global IP address で接続できるわけですから,
内部向けに private IP address で接続できるように
内部向けの FQDN を設定してはいかがですか?
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2008-09-24 20:23
半端なアドバイスをしたらかなり危険な気が・・・。

ネットワーク図の提示が無いので判りませんが、DMZはプライベートアドレス
でしょうか?

# どうもPIX自体の設定だけでなく、ネットワーク設定を含めて購入先のSIベンダに
# 相談した方が良さそうに思えます。
gogan
会議室デビュー日: 2008/09/24
投稿数: 3
投稿日時: 2008-09-25 11:03
返信ありがとうございます。

説明が分かりにくくてすみません。
クライアントからfoo.bar.comでアクセスを試みると100.100.100.100へとびますが、
出口であるPIXでNATしているため処理がうまくいっていないようなのです。
bar.comは外部DNSに登録してありますので、同じものを社内DNSに登録することはできません。

DNSレコード: foo.bar.com IN A 100.100.100.100
PIX上のNAT設定: 100.100.100.100⇔192.168.1.1

インターネット
  |
 ルーター
  |
  PIX ーーー公開サーバー(192.168.1.1)
  |  
クライアント(192.168.2.1)

SIにも問い合わせてみます。

kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2008-09-25 21:23
こんばんは.
引用:

goganさんの書き込み (2008-09-25 11:03) より:

bar.comは外部DNSに登録してありますので、同じものを社内DNSに登録することはできません。

理由になっていないような気がします.
外部 DNS を参照して欲しいのは外部から接続する人たちで,
内部 DNS を参照して欲しいのは内部からの通信なのでは?
なんのために社内 DNS があるのでしょう?
引用:

DNSレコード: foo.bar.com IN A 100.100.100.100
PIX上のNAT設定: 100.100.100.100⇔192.168.1.1

この場合,NAT な内部 -> DMZ の通信にも適用されるのでしょうか?
PIX は良く知りませんが,この辺も firewall の rule として設定するではないかと.
つまり,外部 -> DMZ の通信の際に NAT されるのと,
内部 -> DMZ の通信で NAT するのは別の rule なのかと.
※違ってたらゴメンナサイ.

内部からも外部からも同じ FQDN で接続するとして,
同じ IP address でなければならないわけではないと思います.
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2008-09-26 08:11
問題点の切り分けをして見ましょう。

引用:
goganさんの書き込み (2008-09-25 11:03) より:

クライアントからfoo.bar.comでアクセスを試みると100.100.100.100へとびますが、
出口であるPIXでNATしているため処理がうまくいっていないようなのです。
bar.comは外部DNSに登録してありますので、同じものを社内DNSに登録することはできません。

DNSレコード: foo.bar.com IN A 100.100.100.100
PIX上のNAT設定: 100.100.100.100⇔192.168.1.1

インターネット
  |
 ルーター
  |
  PIX ーーー公開サーバー(192.168.1.1)
  |  
クライアント(192.168.2.1)

社内クライアントのブラウザに
http://192.168.1.1
と指定して公開サーバへアクセスは可能な状況でしょうか?
→ アクセス出来ない状況ならPIXのルーティング設定の見直しが必要です。

アクセス可能な状況ならば、kazさんも同様の指摘をされてますが、
社内からも同じFQDNでアクセスしたい
との要求には内部DNSへの登録が最も容易な対応だと思います。
# まあ、社内なのでIPアドレス直打ちでも良さそうな気もしますが。
Wind
ベテラン
会議室デビュー日: 2004/11/10
投稿数: 73
投稿日時: 2008-09-26 13:01
PIXでInsideからOutside、DMZ(security Lvの高いInterfaceからsecurity Lvの低いInterface)へのアクセスの際、NAT Addressでアクセスできないのは仕様だったはずです(うろ覚えで恐縮ですが)。

#ちなみに逆NAT(Inside→DMZ等)が設定できないのも仕様です。

ですので、ご質問のInsideからDMZへのServerへのアクセスはNATしていないAddressにて行ってください。
どうしてもURLでアクセスしたい! というのであれば、workaroundとしては、

1)皆さん仰られている通り、DNSで解決する(view機能を使って、内部からの名前解決はプライベートを返答するようにする等)
2)hostsを書く

くらいでしょうか。

他のFirewallならできるのかもしれませんが、自分の知識の範囲内ではなかったような気がします(NetScreenできたっけかなぁ……)。

# 日本語が変だったのを修正

[ メッセージ編集済み 編集者: Wind 編集日時 2008-09-26 13:03 ]
gogan
会議室デビュー日: 2008/09/24
投稿数: 3
投稿日時: 2008-09-26 18:52
>社内クライアントのブラウザに
>http://192.168.1.1
>と指定して公開サーバへアクセスは可能な状況でしょうか?
これは可能です。

モバイル機で社内からも社外からも設定変更なしで、同じURLでアクセスしたいというのが希望です。
PIXの仕様であればどうしようもないです。
view機能は使えないDNSですので、hostsしかないのかなと。
現在は数が多くないので取り敢えずそれで対応したいと思います。

皆様ありがとうございました。
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)