- - PR -
Netscreen 5GTでのNAT
1|2|3
次のページへ»
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-04-05 13:40
初めて書き込みさせて頂きます。
Netscreen 5GTを購入しようとしていますが、要求されている構成が実現可能かどうかが判らずに思慮しております。 まず、ClientからUntrust側IPに到達したHTTP通信をHostへ接続する為にVIPを組みます。 Src Client:Any → Untrust:80 ↓ Src Client:Any → Host:80 更にそのHost宛の通信のSrcをTrust側IPへ変換してHostへ到達させます。 Src Client:Any → Host:80 ↓ Src Trust:Any → Host:80 この様な多重NATは可能なのでしょうか。 個人的には難しいとは思っておりますが、対応策などがありましたらご教授頂けませんでしょうか。 | ||||||||
|
投稿日時: 2007-04-05 15:40
こんにちは。
知りたい内容がよく判りませんが、Untrust側にグローバルアドレスでアクセス可能な 公開用Webサーバを設置したいということでしょうか? → もしそうならDMZが設定できるExtended(NS-5GT-207)を購入すべきかと。 事前に調査したいなら、Netscreenの設定を覗いて下さい。 # Netscreen専用の掲示板もありますよ。 # 私自身はかなり前に少し触った程度なので、詳細設定には自信ありませんが・・・。 編集:以下コメントを追記 こっち側がマルチポストでしたか。 orz 参照URLの掲示板にも全く同じ質問をされていますが、この行為はマルチポストと 言って多くのBBSでは嫌われる行為です。 # net上のBBSでは即時回等が付くケースは稀です。少なくとも数日待っても回答が # 付かないようなら、理由を明記して他のBBSに質問することはアリですが、数時間 # 以内に複数のBBSで同一内容の質問することは、お止め下さい。 [ メッセージ編集済み 編集者: BackDoor 編集日時 2007-04-05 16:29 ] | ||||||||
|
投稿日時: 2007-04-05 16:22
レスありがとうございます。
判り難い説明で申し訳ありません。 これは社内イントラからサーバセグメントへのアクセスという 閉じたネットワークでの使用を目的にしています。 結局のところ、Untrustからの通信をVIPでTrust配下のHostへ飛ばすが、 尚且つHostへ到達する通信については送信元IPをNetscreenのTrust側 IPで到達させて欲しいと言うものでした。 【Netscreen Untrust到達時】 Src Client IP:Any → Dst Untrust IP:80 【Host到達時】 Src Trust IP:Any → Dst Host IP:80 Soruce NATとDestination NATを同時に使うようなイメージですね・・・。 P.S.Netscreenの設定にも投稿してあります・・・。 [ メッセージ編集済み 編集者: jake 編集日時 2007-04-05 16:23 ] [ メッセージ編集済み 編集者: jake 編集日時 2007-04-05 16:24 ] | ||||||||
|
投稿日時: 2007-04-05 17:26
補足説明が不十分だと思います。
ネットワーク図を提示願えませんか? 社内イントラ、サーバセグメントって書かれてもここを見ている方には 何のことか判らないと思います(少なくとも私には判りません)。 # ブロードキャストドメインが別なんですよね? # できるだけIPアドレス付きで図示願いたいです。 インターネット側(Untrust)からのサーバアクセスはVPNではないので しょうか? # VPNでの他拠点間接続なら、VIPの設定は不要に思えます。 # VIPの設定がが必要な理由がどうも理解できません。 # 書かれている内容を見る限り、イントラサーバじゃなく公開サーバの # 設定に思えるのですが・・・。 | ||||||||
|
投稿日時: 2007-04-05 18:33
レスありがとうございます。
説明がわかり辛くてすみません。 # ブロードキャストドメインが別なんですよね? はい、別となります。 # できるだけIPアドレス付きで図示願いたいです。 下記に記載します。 (また判り辛い図になってますです・・・) # VPNでの他拠点間接続なら、VIPの設定は不要に思えます。 VPNは使用していません。 ただのセグメント間に置く為だけに存在する機器です。 # VIPの設定がが必要な理由がどうも理解できません。 すみません・・・。 VIPに拘らず、実現可能な方法があればご教授ください。 提示されている条件としては下記になります。 ・Clientからのアクセス先はNetscreenのポートアドレス(Trust or Untrust) ・Serverへの到達通信はSrcがNetscreenのポートアドレス(Trust or Untrust) Untrust | Turst 社内イントラネット | サーバーセグメント 172.16.0.1 192.168.1.2 10.1.1.100 ↓ ↓ ↓ +------+ +------+ +---------+ +------+ |Client |----|Router|----|Netscreen|-----| server | +------+ +------+ +---------+ +------+ ↑ ↑ ↑ 172.16.0.100 192.168.1.1 10.1.1.2 ※全て24bitマスク 念の為、実現したい通信の流れを下記に記載します。 @Client(172.16.0.100)はNetscreenのUntrust(192.168.1.2)宛てにアクセス 【Untrust(192.168.1.2)へ到達した通信】 Src 172.16.0.100:Any → Dst 192.168.1.2:80 AUntrust(192.168.1.2)へ到達した通信はNetscreenにてServer(10.1.1.100)へフォワード処理 【NetscreenでDst変換された通信】 Src 172.16.0.100:Any → Dst 10.1.1.100:80 Bさらに、NetscreenにてソースアドレスをTrust(10.1.1.2)へ変換してServerへ到達 【NetscreenでSrc変換された通信】 Src 10.1.1.2:Any → Dst 10.1.1.100:80 また判り辛い記載ですが、宜しくお願い致します。 | ||||||||
|
投稿日時: 2007-04-06 06:02
本来の要件は、
1.クライアント側のルーターには、サーバNWまでの経路を記述しない。 2.サーバには、クライアントNWまでの経路を記述しない。 3.上記で、NATによってクライアント−サーバ間の通信をさせたい。 ということでしょうか。 内部セキュリティ要件としては、ごく一般的です。 であれば、サーバのMIP◇を192.168.1.0のセグメントに作成し、 クライアントのMIP○を10.1.1.0のセグメントに作るだけだと思います。
これにより、クライアントは仮想Serverまでの経路を持てばよく、 サーバは仮想Clientまでの経路を持てばよいことになります。 _________________ _福田太郎_ | ||||||||
|
投稿日時: 2007-04-06 09:23
再度の補足説明ありがとうございました。
ようやく理解できました。 Netscreenなので、当初はリモートルータとして使用しているのだと思っていました。 # 内部セキュリティ対策用のローカルルータとして動作させてたのね。 orz すでにたらお様から回等がついてますが、VIPの設定だけで大丈夫です。 Virtual IP : 192.168.1.2 Virtual Port : 80 Map to Service : HTTP(80) Map to IP : 10.1.1.100 補足:ネットワーク図をかかれるときはCODE タグを使うとずれません。 詳細はFAQ参照 | ||||||||
|
投稿日時: 2007-04-06 09:40
BackDoorさん、たらおさん、回答ありがとうございます。
(さらに書き込みのコツまでお教え頂いて感謝です・・・) VIP、もしくはMIPでの設定で解決できるとの事ですね! ホッとしました・・・。 しかし、一点だけ懸念点があるのですが・・・。
上記のNetscreenを通過後、Serverへ到達する際のパケット内Src IPアドレスは NetscreenのTrust側IPアドレスとなるのでしょうか。 昨日、もう一度要望をヒアリングしてみたました。 詳細な要望として、Trust側に流れるClientからの通信内容については、 Srcの内容をTrustポートのIPアドレスとして、ClientのIPアドレスを 到達先であるServer側で隠蔽したいようなのです・・・。 (どういう理由かは不明ですが・・・) ここまでお付き合い頂いていながら、更に追加確認をするとは恐縮ですが、 念の為に確認したいと思っております。 宜しくお願い致します。 [ メッセージ編集済み 編集者: jake 編集日時 2007-04-06 09:45 ] [ メッセージ編集済み 編集者: jake 編集日時 2007-04-06 09:47 ] |
1|2|3
次のページへ»