- PR -

Sonicwallの1対1NAT

1
投稿者投稿内容
たわし
会議室デビュー日: 2003/03/05
投稿数: 10
投稿日時: 2004-10-29 11:34
どもです。
Sonicwallで、LAN側にあるWEBサーバを
グローバルアドレスと1対1NATするように
設定したのですが、
インターネット側からこのWEBサーバにはアクセスできたのですが
LAN側のクライアントからWEBサーバのグローバルアドレスに
アクセスできません。
ルールの設定に不備があるのか、そもそもできないのか不明です。
どなたか有識者さんお知恵を・・・
jun
ベテラン
会議室デビュー日: 2003/01/07
投稿数: 80
お住まい・勤務地: 愛知県
投稿日時: 2004-10-29 12:17
JUNといいます。
こんちわ。

古いSONICWALL PROという機種しかさわった事ないのですが、

1つめ

 外向きのNATが正しく設定されているか?
 →クライアントが外部のWEBサーバ等を閲覧できるか?

2つめ
 
 アクセス-ルールの設定が正しく設定されているか?
 →アクセス元LANのANY、宛先がWEBサーバのグローバルアドレス
  といったルールが設定されているか?

  動作:許可
  サービス:HTTP
  アクセス元:LAN:ANY
  アクセス先:WAN:WEBサーバのグローバルアドレス

といった感じの所を確認してみてわいかがでしょう?
綾瀬
ぬし
会議室デビュー日: 2002/07/31
投稿数: 393
お住まい・勤務地: どっちも3階
投稿日時: 2004-10-29 12:36
こんにちは。

SonicWALL PRO触ってたときに同じことやって、確かにLAN側から見れなかった
記憶はありますね。
その時は、一般向けルータと同じくLAN側からグローバルIPの指定は無理なの
だろうと言う事に勝手に落ち着いて、内部DNS立てたりhosts書いたりして
終わりにしましたが。

SonicOS 2.0系はまだ触ってないので判りません。
たわし
会議室デビュー日: 2003/03/05
投稿数: 10
投稿日時: 2004-10-29 13:46
JUNさん綾瀬さんありがとうございます。
JUNさん指摘ルールも含めていろいろやったのですが
だめでした。ping(Any<->Any:Allow)すらだめなんですからね。
仕様なんでしょうかね。

DMZがついていないSonicwallなんで、手前のルータでフィルタリング
するしかないのかな?
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-10-29 19:31
こんばんわ.
引用:

たわしさんの書き込み (2004-10-29 11:34) より:

インターネット側からこのWEBサーバにはアクセスできたのですが
LAN側のクライアントからWEBサーバのグローバルアドレスに

それが普通だと思います.
理由は綾瀬様のご指摘にあるとおりかと.

ちなみにその www server の実際の IP address は?
たわし
会議室デビュー日: 2003/03/05
投稿数: 10
投稿日時: 2004-11-03 14:12
たわしです。

>それが普通だと思います.
>理由は綾瀬様のご指摘にあるとおりかと.
グローバルアドレスに直接PINGしても反応がないんです。
DNSは関係ないんです。綾瀬様は、それをわかっていて、
プライベートIPを渡すDNSを構築したと小生理解しました。

Firewall-1では問題なく動くので、
SonicwallのARP代理応答に問題があると思っています。


>
>ちなみにその www server の実際の IP address は?
192.168.1.10という普通のプライベートIPです。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-11-03 19:59
こんばんわ.
引用:

たわしさんの書き込み (2004-11-03 14:12) より:

>それが普通だと思います.
>理由は綾瀬様のご指摘にあるとおりかと.
グローバルアドレスに直接PINGしても反応がないんです。
DNSは関係ないんです。綾瀬様は、それをわかっていて、
プライベートIPを渡すDNSを構築したと小生理解しました。

内部 DNS が分かりやすいですが,
公開用の DNS を管理しているなら,
そこで内/外どちらからの問い合わせも捌けます.

引用:

Firewall-1では問題なく動くので、
SonicwallのARP代理応答に問題があると思っています。

Firewall-1 では ping で reply があるのですか?

実際にその global な ip address の host は存在しないのですよね?
実体が無いなら ping で reply は無いでしょう.
内/外どちらからもその global な ip address に接続しにきたら
192.168.1.10 に NAT してくれるなら,或いは reply あるかもしれませんけど.
でないと理屈に合わないと思うんですが...
綾瀬
ぬし
会議室デビュー日: 2002/07/31
投稿数: 393
お住まい・勤務地: どっちも3階
投稿日時: 2004-11-05 17:47
こんにちは。


> グローバルアドレスに直接PINGしても反応がないんです。
> DNSは関係ないんです。綾瀬様は、それをわかっていて、
> プライベートIPを渡すDNSを構築したと小生理解しました。

はい、その通りです。もっと詳しくと書くべきでしたね。

私も導入時にはいろいろ試したのですが、やはりダメでしたね。
で、あの頃は家庭向けのルータとかも同じようにLAN側からは
グローバルIP突けない製品が多かったので、同じなんだろうなぁと。
なので特に深く追求せず、仕様だろうということで終わらせたのでした。

WANとLANのどちらからでもNATを正しく(?)処理してくれるというのは、
YAMAHAルータあたりが有名ですかね。

ところで、うろ覚えなのですが、FireWall-1は、DMZ用にLANとは違う
プライベートIPのセグメント用意して、そのIPとグローバルIPとのNATを
設定とかする方式でしたっけ?
どうもウチは高い機器を買ってくれるお客様がいないので、触る機会が
無いんですよねぇ。
1

スキルアップ/キャリアアップ(JOB@IT)