- PR -

ルータを2台利用してDMZ環境を構築

1
投稿者投稿内容
ダンカン
会議室デビュー日: 2005/03/24
投稿数: 1
投稿日時: 2005-03-24 13:56
初心者です。
サーバの構築について質問させてください。
下図のようにルータを2台利用してDMZ環境を構築しています。

[ Internet ]---[ ルータA ]---------[ ルータB ]---[ LAN ]
                     |
                     L---[ DMZ ]
                         |
                       [ サーバA ]

公開サーバ用にグローバルIPを8つもらっていて(XXX.XXX.XXX.111〜XXX.XXX.XXX.118)
以下のように割り当てています。

XXX.XXX.XXX.111 ネットワークアドレス
XXX.XXX.XXX.112 ゲートウェイアドレス
XXX.XXX.XXX.113 ルータAのWAN側IPに設定
XXX.XXX.XXX.114 サーバAのTCP/IPの設定にて設定(Win2k)
XXX.XXX.XXX.115 空き
XXX.XXX.XXX.116 空き
XXX.XXX.XXX.117 空き
XXX.XXX.XXX.118 ブロードキャストアドレス
192.168. 1. 1 ルータAのLAN側IPに設定
192.168. 1. 9 ルータBのWAN側IPに設定
192.168. 0. 1 ルータBのLAN側IPに設定

以上のようにIPを設定し、ルータAのunnumbered機能を用いて
外からサーバAのグローバルIPを見れるように設定しました

以下の質問です。

1.この場合、ルータAはサーバAへのアクセスを受けるとそのまま
サーバAに転送する動きになると思います。ポートによる制御も行って
いないのでルータAはファイアウォールの機能は一切ないと
判断していいのでしょうか?

2.ならばルータBにてファイアウォールの機能を利用する考えでいいのでしょうか?

3.それとも、
XXX.XXX.XXX.111 ネットワークアドレス
XXX.XXX.XXX.112 ゲートウェイアドレス
XXX.XXX.XXX.113 ルータAのWAN側IPに設定
XXX.XXX.XXX.114 空き
XXX.XXX.XXX.115 空き
XXX.XXX.XXX.116 空き
XXX.XXX.XXX.117 空き
XXX.XXX.XXX.118 ブロードキャストアドレス
192.168. 1. 1 ルータAのLAN側IPに設定
192.168. 1. 2 サーバAのTCP/IPの設定にて設定(Win2k)
192.168. 1. 9 ルータBのWAN側IPに設定
192.168. 0. 1 ルータBのLAN側IPに設定
とし、ポート番号を見てサーバAに転送する設定をルータAに持たせたほうがいいのでしょうか?
その場合、グローバルIPを使っていないことになりますが・・・・?

4.自宅サーバ関連のページを見るとポートによる制御を行っているようです。
これって、グローバルIPが1つで複数のサーバマシンを立てるために
やってるんですか?

以上です。長くなりましてすみません。
ご教授の程、よろしくお願いします。

[ メッセージ編集済み 編集者: ダンカン 編集日時 2005-03-24 13:57 ]

[ メッセージ編集済み 編集者: ダンカン 編集日時 2005-03-24 13:58 ]
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-03-24 14:28
引用:

1.この場合、ルータAはサーバAへのアクセスを受けるとそのまま
サーバAに転送する動きになると思います。ポートによる制御も行って
いないのでルータAはファイアウォールの機能は一切ないと
判断していいのでしょうか?


その辺はルータの機能次第なので、型番も全設定内容も分からない状態で
ファイアウォール機能が有効か否か、ファイアウォール機能が実装されているか否か、
を答えることなんて出来ません。
アドレス変換の仕組みとファイアウォール機能は別物ですし。

引用:

2.ならばルータBにてファイアウォールの機能を利用する考えでいいのでしょうか?


何をどこから守るためのファイアウォール機能なのかわかりません。
ルータBだと、インターネットからLANを守れますが、
インターネットからサーバAを守ることはできません。

引用:

3.それとも、
(略)
とし、ポート番号を見てサーバAに転送する設定をルータAに持たせたほうがいいのでしょうか?
その場合、グローバルIPを使っていないことになりますが・・・・?


それで十分やりたいことを実現できるんだと判断するなら、それでもいいとは思います。
どちらがいいかなんてケースバイケースです。

引用:

4.自宅サーバ関連のページを見るとポートによる制御を行っているようです。
これって、グローバルIPが1つで複数のサーバマシンを立てるために
やってるんですか?


大抵はそうですが、そうとは限りません。
どのアドレスのどのポートへの接続を、どのサーバに割り振りたいか、
っていう設計があり、それ次第でどちらの技術を使うか判断した結果、
いずれかに決まったり、どっちでも問題ないからどっちか選んだりするわけです。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-03-24 14:37
こんにちわ.
引用:

ダンカンさんの書き込み (2005-03-24 13:56) より:

公開サーバ用にグローバルIPを8つもらっていて(XXX.XXX.XXX.111〜XXX.XXX.XXX.118)
以下のように割り当てています。

XXX.XXX.XXX.111 ネットワークアドレス
XXX.XXX.XXX.112 ゲートウェイアドレス
XXX.XXX.XXX.113 ルータAのWAN側IPに設定
XXX.XXX.XXX.114 サーバAのTCP/IPの設定にて設定(Win2k)
XXX.XXX.XXX.115 空き
XXX.XXX.XXX.116 空き
XXX.XXX.XXX.117 空き
XXX.XXX.XXX.118 ブロードキャストアドレス
192.168. 1. 1 ルータAのLAN側IPに設定
192.168. 1. 9 ルータBのWAN側IPに設定
192.168. 0. 1 ルータBのLAN側IPに設定

以上のようにIPを設定し、ルータAのunnumbered機能を用いて
外からサーバAのグローバルIPを見れるように設定しました


ほんとうに外から見えているんでしょうか?
server A は global な IP address ではなく private な IP address を割り当てて,
router A で NAT したりするのではないかと...

その状態で外から見えているとなると,
router の機種を公にされたほうが宜しいと思います.
引用:

1.この場合、ルータAはサーバAへのアクセスを受けるとそのまま
サーバAに転送する動きになると思います。ポートによる制御も行って
いないのでルータAはファイアウォールの機能は一切ないと
判断していいのでしょうか?


NAT しているならとくに入れる必要はないと思います.
外からの接続が許可されている通信については,
それが「正しい通信か?否か?」に関わらず通してしまうのが
Firewall の一般的な機能ですので,
NAT に隠蔽された private な network が外部との通信で
NAT をせずに確立できないのですから.
port のよる制御だけが Firewall とは限りませんし.
引用:

2.ならばルータBにてファイアウォールの機能を利用する考えでいいのでしょうか?


できれば「入れた方がよい」という程度かと.
引用:

とし、ポート番号を見てサーバAに転送する設定をルータAに持たせたほうがいいのでしょうか?
その場合、グローバルIPを使っていないことになりますが・・・・?


一般的に NAPT と呼ばれる仕組みです.
server A に global IP address を振らなくても成り立ちます.
引用:

4.自宅サーバ関連のページを見るとポートによる制御を行っているようです。
これって、グローバルIPが1つで複数のサーバマシンを立てるために
やってるんですか?


とも限りませんが,そのような副次的効果があります.
つまり「できれば1つの IP address に見せたい」場合もあるかと.

Firewall とは「機能それ自体」というより,
それらの機能を使った「環境」と捉えた方が宜しいかと.
なので,NAT しただけでも守れる場合がありますし,
NAT した上で個々の server が単独で personal firewall な機能を実装するのも
一つの在り方です.
つまり,考え方の問題なので,
明確に「何を守りたいのか?」「何から守りたいのか?」から組み立てていくと宜しいかと.

以上,拙いですが,ご参考までに.
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2005-03-24 16:16
ここらへんを整理して見ると分かりやすいかな…と思うのですが。

1. ルータの内/外でのアドレス体系
1-1. 内・外間で変換の必要なし(内/外ともグローバルアドレスの場合等)
1-2. 内・外間で変換の必要あり(外はグローバル、内はプライベート等)
1-3. 混在(外はグローバル、内はグローバル・プライベート混在等 … 所謂 GapNAT)

2. ルータから見た外→内の通信
2-0. 外→内の通信は無い
2-1. アドレス変換無し
2-2. アドレス変換有り(ポート制限無し)
2-3. アドレス・ポート変換有り、もしくはアドレス変換有り・ポート制限有り

3. ルータから見た内→外の通信
3-0. 内→外の通信は無い
3-1. アドレス変換無し
3-2. アドレス変換有り
3-3. アドレス・ポート変換有り(IPマスカレード)

大体ありそうなのが、ここら編でしょうか。
これを、ルータA、ルータBそれぞれで、どのような組み合わせを使っているかまとめてみては?

後、細かい点なのですが、
通常IPアドレス8個割り当てというと、X.X.X.64〜X.X.X.71 のように、先頭のアドレスは8で割り切れる数が使われます。
そのように書いていただいた方が混乱しないかな…、と。
1

スキルアップ/キャリアアップ(JOB@IT)