- - PR -
ISAと静的ルーティング
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-09-08 11:45
こんにちは。
本当に難しいですね! 環境が今のままで変えられないなら、方法としては下記でやるしかないかなと思います。
すみません。いろいろと制約が多いと、おのずと選択肢が消えていってしまいます。 私には、ここまでしか回答できません。 | ||||||||
|
投稿日時: 2004-09-08 12:56
ヨッシー様、引き続きのご返信ありがとうございます。
提案して頂いた案の内、2,3は採用してもらえないと思いますので、 1もしくは「なんとかする」の方向でやるしかないかと・・・。 最悪の場合、4番目の措置として、 ネットワーク業務が必要な端末のそれぞれにroute -p(であってましたっけ?) でルーティングテーブルを記述してしまうという方法があります。 それにしても、ISAはルーターのハズなのに・・・。 | ||||||||
|
投稿日時: 2004-09-08 13:50
こんにちわ.
ではないです,正確には. あくまでも firewall と proxy です. router とは全く別物で,router も兼ねることが出来るかも...くらいです. でも,個人的な所見を述べさせていただくと, 単に「やり方が判らないだけ」だと思うのですが,如何でしょうか? ISA 2004 はまだ試せていないので「こうすれば」は書き込めませんが, manual などを見れば,下位に別 network がある場合の設定箇所があるのではないかと. 少なくとも「そういった機能を有効にできない」などということは有り得ないかと. とりあえず試したいんですけどね...時間が... | ||||||||
|
投稿日時: 2004-09-08 14:34
こんにちは。
私も同感です。 ISA2004を一度だけインストールしましたが、画面の感じしか見ていないので、機能面がどんな風になっているのかはわかりません。しかも今社内ではなくなったので… きっと、設定できる項目があるんでしょうけど、今はなんとも言えません。 何とかできる方法が見つけられるよう祈っています。 | ||||||||
|
投稿日時: 2004-09-09 14:59
ISAに関しては実績がまるでないので何ともいえないのですが
「社内PCのデフォルトゲートを変えずにインターネットにもネットワークAにも通信したい」 という要件だけを満たすのであれば 理想(インターネット):社内PC→ISA→インターネット 理想(ネットワークAへ):社内PC→ISA→ルーター→ネットワークA という構成にこだわらず (インターネット):社内PC→ルーター→ISA→インターネット (ネットワークAへ):社内PC→ルーター→ネットワークA というように、社内PCのデフォルトをルーターにしてしまうのも一つの手ではないでしょうか まあ、ルーターのスペック等現実には難しい面もありますが。 また、仮にISAでRoutingが可能であったとしても、 (ネットワークAへ):社内PC→ISA→ルーター→ネットワークA この通信を採用させると、パケットの流れが 行き 社内PC→ISA→ルーター→ネットワークA 戻り ネットワークA→ルーター→社内PC となり、行きと戻りのパケットの経路が変わってしまいます。 こうなると、場合によっては(FWがステートフルインスペクション採用なら) ネットワークA発社内PC向け通信をFWでDropする場合もありますので。 そういった意味では route add -p 172.19.0.0 mask 255.255.0.0 ルーター のバッチファイルを社内にまいてダブルクリックというのが一番無難かつ美しい パケットの流れになるのではないかと。 ご質問の趣旨とは離れてしまう書き込み、申し訳ございません。 | ||||||||
|
投稿日時: 2004-09-09 15:32
こんにちわ.
そもそも router がどちら向きなのかわからないですね... router そのものは default gateway 設定されてるのでしょうか? それとも,単に別 network 間を結んでいるだけ? | ||||||||
|
投稿日時: 2004-09-09 20:20
いまひとつ状況がつかみにくくいのですが、通信したい先のネットワークAは、ISA2004の「ネットワーク」ではどのように定義しているのでしょうか? ISA2004では、「内部」「境界領域」「外部」など、明確に定義されたネットワークがいくつかあるはずですが、そのうちのどこに定義しているのでしょうか? 別ネットワークだから、基本的には新しいネットワークを定義するべきだとは思いますが(例「会社Aネットワーク」とか)、内部ネットワークの一部に含めてもよいかも知れません。
もし「内部」ネットワークの一部だとすると、「ネットワーク ルール」で、『「内部」←[ルート]→「内部」』というようなルールは存在していますでしょうか? デフォルトではこのようなルールはないので、パケットが破棄されているのではないでしょうか(手元で再現したわけではないので、推測ですが)。もし別ネットワークとして定義しているなら、そのルーティングを許可するネットワークルールを作成する必要があると思います。 さらに、ISA2004マシンには、ネットワークA宛のスタティックなルートをあらかじめ定義しておく必要があると思います(たぶん)。 的外れだったらごめんなさい。 | ||||||||
|
投稿日時: 2004-09-09 21:00
こんばんわ.
問題はここで,るーさま様よりの情報を信じる限り, RRAS での設定ができなくなっている, route add して routing table には追加できたようですから,
なのかな? でも,自分も推測ですが,それはないと考えていました. そのような環境を ISA 2000 で作った際に, たしか「あえて policy を書く」ことはせず, routing だけで通信できたと記憶しています. でも,記憶違いということもあり得ますので, Uchikoshi 様のご指摘のように「内部 -> ISA -> 内部」な rule を追加してみては? でも,この場合の rule は「内部 -> 内部」となる???それも変??? |