- - PR -
PROXYの設定について
1
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-05-13 22:15
現在、社内のイントラ環境を見直しています。
本社と各拠点はIP-VPNで接続されています。各拠点のアクセス回線はIPsec接続で、本社はイーサーをアクセス回線として利用しています。 セキュリティ上の社内ポリシーからすべてのインターネット抜けは、本社にProxyサーバーを経由して、インターネットへ抜ける設計とします。 そこでひとつ問題が発生しました。 基本的には、各拠点の端末にProxyの設定をしてインターネットへアクセスさせることに問題はないのですが、一部の古い端末では、Proxy設定ができないようになっています。しかし、これらの端末もインターネットへアクセスさせる必要があります。また、IP-VPN提供のキャリアからIPsec接続をしている各拠点から本社経由でインターネットへアクセスさせるにはかならずProxy経由でなければならないという制約があります。 質問としまして、どのようにすれば、Proxy設定のできない端末を本社経由でインターネット抜けができるのか良い解決策がありましたら、教えていただけないでしょうか。 | ||||||||||||
|
投稿日時: 2006-05-14 00:11
こんばんわ.
「イーサー」ってなんなんでしょう?
「インターネット抜け」とか「インターネットへ抜ける」という表現から 想像はつきますけど,もう少しちゃんとした言葉で説明できませんか?
Proxy の設定ができなくて, でも本社経由で接続しなければならないなら, 解決策は無いのではありませんか? 或いは全体の routing を見直すことで解決できるのかもしれませんが, ここに書かれている情報からは何も解決策は出てこないと思います. そもそも「Proxy 設定できない端末」がどんなものか想像もつきませんし. Proxy が設定できない理由は何か把握されていますか? それを解決して Proxy が設定できる状況にするのが早道だと思いますけど. ※「Proxy を設定する」ことの意味は理解されていますよね? | ||||||||||||
|
投稿日時: 2006-05-14 09:52
本当は新しいPC(アプリ)切り替えるのが良いと思うのですが、(バージョン等の関係でやアプリケーションの制約から難しいなら)次のような手も考えられます。
■透過Proxyを使う トラフィックの集まるところ(例えばゲートウェイにProxyの動作するマシンを置くか、L7のスイッチでポート80(443)のパケットをProxyに集中させるようにネットワークを構成する)で透過Porxyを配置しておき、ポート80のパケットをProxyが代理応答するように構成することで、クライアントはProxyを明示的に設定しなくてもProxy経由でアクセスするようになります。勿論、ファイヤーウォールではProxy以外からのポート80のリクエストを拒否するように設定しておきます。 もし使っているスイッチがCISCOでWeb Cache Coordination Protocol(WCCP)をサポートしており、ProxyがWCCP対応ならこれを使って透過Proxyを構成することも可能だと思います。 | ||||||||||||
|
投稿日時: 2006-05-14 15:03
コメントありがとうございます。
>KAZさん 一部説明不足すみません。 イーサーとは、イーサーネットのアクセス回線のことです。 PROXYを設定する意味は知っております。 非武装エリアさんが記載されているように、新規のPC等に切り替えるのが一番良いのですが、現状できない状態です。 >非武装エリアさん 貴重なコメントありがとうございます。 透過Proxyは私も考えたのですが、利用したことがないため、実際にどのような動きをするのか現在、いろいろと調べております。 既存で社内にProxyサーバがあるのですが、それとは別に透過Proxy機器が必要なのでしょうか。それとも、既存のProxyサーバを透過Proxyとして動作させるのでしょうか。 いただいたコメントにCiscoスイッチを利用して、WCCPをサポートしていれば、透過Proxyを構成することも可能とのことですが、ルータでもOKですよね? | ||||||||||||
|
投稿日時: 2006-05-14 15:42
一般的なルーターというのは、宛先により経路を決定するという機能を持ちます。 この宛先というのはIPアドレスを指します。 透過型proxyを使用するのであれば、 「wwwポートが宛先の場合はproxyサーバーを宛先にする。」 という宛先ポート番号による経路設定が必要になり、 これは普通のルーターでは無理でしょう。 いわゆるL7スイッチ機能が付いたルーターが必要になると思います。 また、透過型proxyを使用する場合には、proxyがその機能をサポートしている必要があります。 全てのproxyサーバーが透過型proxyをサポートしているわけではないと思います。 :追加 proxy設定の出来ないマシンをproxy接続したいという要望は、 それなりに難しい注文で、それを実現するには、 やはりそれなりの投資が必要になるわけです。 [ メッセージ編集済み 編集者: F/A 編集日時 2006-05-14 15:59 ] | ||||||||||||
|
投稿日時: 2006-05-14 21:25
>透過Proxyは私も考えたのですが、利用したことがないため、実際にどのような
>動きをするのか現在、いろいろと調べております。 文字通り、このProxyを経由しようとするhttp(https)パケットは、Proxyによってパケットがフックされて、ソースサーバ(Webサーバの事)へはProxyからのリクエストしてアクセスしている状態になります。 このため、ソースサーバから見ると常にProxyからアクセスされているように見えるようになります。(IPのソースアドレスはProxyのIPアドレスとなります) ただし透過Proxyを実現するには、本来のPCからのhttp(https)パケットを必ずProxyへ集中させる必要があるため、そのための仕組みを考える必要が出てきます。 これらを実現するもっとも簡単な方法はProxyをネットワーク上のセンターのルータとして構成しておき、すべてのネットワークセグメントからのIPパケットを必ずProxy経由とさせることで実現可能ですが、ネットワーク規模が大きい場合には、Proxyへのパケットが集中する為にそれなりのハードウェアスペックでないとネットワークトラフィックに影響が出ることが考えられます。 L7やWCCPのスイッチでは、http(https)パケットだけを切り分けてルーティングを行えるため、これらを使えばProxyをセンタールータにする必要が無くなり、これらのスイッチがルーティングできる範囲で比較的自由な場所にProxyを配置する事が可能になります。 通常のルータを使った場合では残念ながらパケットの種類までは見ていないため、このような芸当ができません。 透過Proxyをサポートしているかどうかは、ご利用のproxyのドキュメントを見てください。 因みにフリーのProxyである squid は透過プロキシ(トランスペアレント Proxy)をサポートしてます。(WCCPもサポートしてますが、使った事がないので良く判りません) | ||||||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。