- - PR -
ISAと静的ルーティング
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2004-09-09 22:21
ちょっと環境を構築して実験してみました。要するに、「内部」から「内部」へルーティングしたいということですよね?
先ほどの投稿では「ネットワーク ルール」を定義するとよいのでは、といいましたが、間違いでした。すみません。「ファイアウォール ポリシー」を追加定義して下さい。以下に、手順を示します。 1.まずroute addコマンドなどで、ネットワークA向けのスタティックなルートを追加定義する(RIPでもいいと思いますが、未確認)。RRASは使いません。 2.ISA2004の「ファイアウォール ポリシー」で、「内部」から「内部」へ、「すべての送信トラフィック」を「許可する」ルールを、新規に追加定義してください。「ログを記録する」はオフでいいと思います(でないと、大量のログが出るので)。 以上です。2.のルールがないと「ファイアウォール ポリシー」の「既定のルール」によって、ルーティングすべきパケットが破棄されているようです(ログを見て分かりました)。 なお、「内部」ではなく、特定のネットワークを定義して利用することも可能です(管理するという目的からすると、その方が望ましいと思います)。 | ||||
|
投稿日時: 2004-09-09 23:42
問題はここかと. 普通 UNIX 系では「OS 起動時に定義する」のでしょうから, routd や gated や zebra などでやるんじゃなかろうかと思うのですが, ※或いは /etc/rc.local とか,linux なら /etc/sysconfig のどこか 要するに「起動したら設定が反映される」のだと思います. ISA 2000 の場合はそれが RRAS でしたが,ISA 2004 は違うのですよね? 「こうやれば」的なものでなく,正式?な手順があるのではないかと思うのです. それは online manual などを見ても書かれていないのでしょうか? まさか「OS 起動時に command script 走らせれば」などという泥縄な... | ||||
|
投稿日時: 2004-09-10 00:20
すみません、わかりにくかったようですね。静的ルートの定義は、ISAやRRASとは関係なく、Windows NT以来「route -p add 〜」というコマンドを使うのが一般的となっております。ヘルプファイルや、route -?などでお確かめください。
・route〜ルーティングテーブルの表示/設定を行う http://www.atmarkit.co.jp/fnetwork/netcom/route/route.html ・ルーティング・テーブルを操作する http://www.atmarkit.co.jp/fwin2k/win2ktips/266routing/routing.html | ||||
|
投稿日時: 2004-09-10 03:08
調べもせずに失礼しました. つまり "-p" option をつけることで, 以降の OS 起動時にはその設定が load されるということですね. 学ばせていただきました,ありがとうございます. | ||||
|
投稿日時: 2004-09-10 09:20
一昨日、昨日とドメイン取得のための事前調査に追われ、
掲示板を閲覧できなかったのですが、いつの間にやらすごい数のレスが・・・。 皆々様、本当にありがとうございます。 詳しい状況や意見を書こうにも今日は時間的に書けそうにありませんので、 明日必ず状況や結果の報告をしたいと思います。 取り急ぎお礼まで。。 | ||||
|
投稿日時: 2004-09-10 13:47
うーん、やっぱりISAのルールに引っかかっているとなると 社内PC→ISA→ルーター→ネットワークA の経路は、できたとしてもあまりお勧めできないような・・・ ISAそのものがどういった仕様であるかはわからないのですが 一般的なFWの話をすると パケットチェックの仕様にポリシーだけではない別の要素を踏まえている場合が結構あります。 (FW-1なんか酷い) その場合、単純に「内部」から「内部」へ、「すべての送信トラフィック」を許可 というポリシー追加 だけではパケットを通過させることができないことが起こりえます 今回の要件って 「社内PCのデフォルトゲートを変えずにインターネットにもネットワークAにも通信したい」 がプライオリティとしては一番高そうで 特に、社内PC→ネットワークAの通信をISA経由にしたいわけではなさそうですので やっぱり route add -p 172.19.0.0 mask 255.255.0.0 ルーター のバッチファイルを作成して社内PCにばらまきダブルクリック させるのが今後のことも考えると無難な気がするんですが・・・。 FWを通過ささせる必要の無いパケットを下手にFWを介させるのは、極力避けた方がいいと思います。 FWには今までなかされっぱなしなので・・・。 | ||||
|
投稿日時: 2004-09-11 14:17
こんにちわ.
深く考えることなどあるのだろうか???とちょっと疑問が生じたので 書き込んでしまいました. 勘違いでしたら読み飛ばしてください.
今更ですが... ISA 2004 の横から伸びる「社内」からの通信を 「ネットワークA」に通したいのでしょうか? であれば,通過するための rule は必須でしょう. でも,社内 pc 群や「ルーター」の右から伸びる部分であれば, 単純に router の default gateway を ISA に向けて, それぞれの pc 群の default gateway を router に向けるだけでしょう. 間違ってましたらゴメンナサイ. [ メッセージ編集済み 編集者: kaz 編集日時 2004-09-11 14:23 ] | ||||
|
投稿日時: 2004-09-13 19:34
ご回答頂きました皆様、返信が遅れてしまったことをまずお詫びいたします。
どういう風に返答しようか考えたのですが、良い案が思い浮かびませんでしたので、 私の最終レスの後に頂いた回答についてそれぞれ意見・状況を述べることにします。 kaz様の「ISAはルーターではないのでは・・・?」------------------------- 宛先に応じて進路変更をしている以上、どう見てもルーターだと思うのですが・・・。 kaz様&ヨッシー様の「設定できないということはないと思う」-------------- kaz様に最初に御提示頂いた案もISAとは関係のない方法でしたし、 ISAを使って設定する方法が2000の時以来一つも見つかっていないことを考慮すると、 「思う」だけで調査のために業務時間を減らすと私の立場が・・・(泣)。 シャーク様(ハジメマシテ)----------------------------------------------- デフォルトゲートウェイをルーターにして、ルーティングさせるとの提案ですが このルーターを触るのはダメと以前に怒られているのです。ゴメンナサイ。 また、行きと帰りの通信経路が違うとドロップする可能性があるとのことですが、 全くの初耳ですので、落ち着いたらしっかり調べてみようと思います(お恥ずかしい)。 コマンドのバッチファイル配布提案は意味ないの元に一蹴されました(T-T)。 kaz様の「ルータの設定が良く分からない」--------------------------------- 既出の通り、ルーターへの調査・操作は厳禁となっていますので・・・。 (こんな状況で質問してしまって大変申し訳ございません) Uchikoshi様(ハジメマシテ)----------------------------------------------- > ISA 2004の「ネットワーク」での定義と分類 未定義でした(汗)。 そのための警告メッセージが頻繁にイベントログに出ているのに気付かず・・・。 先日ようやくエラーメッセージの意味が分かったので、「内部」に追加定義しました。 > ISA 2004マシンには、ネットワークA宛の静的ルートを定義 これはもちろんやっておきました。 [ メッセージ編集済み 編集者: るーさま 編集日時 2004-09-13 19:40 ] |