- PR -

Netscreen 5GTでのNAT

1|2|3 次のページへ»
投稿者投稿内容
jake
会議室デビュー日: 2007/04/05
投稿数: 7
投稿日時: 2007-04-05 13:40
初めて書き込みさせて頂きます。

Netscreen 5GTを購入しようとしていますが、要求されている構成が実現可能かどうかが判らずに思慮しております。

まず、ClientからUntrust側IPに到達したHTTP通信をHostへ接続する為にVIPを組みます。

Src Client:Any → Untrust:80

Src Client:Any → Host:80

更にそのHost宛の通信のSrcをTrust側IPへ変換してHostへ到達させます。

Src Client:Any → Host:80

Src Trust:Any → Host:80

この様な多重NATは可能なのでしょうか。

個人的には難しいとは思っておりますが、対応策などがありましたらご教授頂けませんでしょうか。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-04-05 15:40
こんにちは。

知りたい内容がよく判りませんが、Untrust側にグローバルアドレスでアクセス可能な
公開用Webサーバを設置したいということでしょうか?
→ もしそうならDMZが設定できるExtended(NS-5GT-207)を購入すべきかと。

事前に調査したいなら、Netscreenの設定を覗いて下さい。
# Netscreen専用の掲示板もありますよ。
# 私自身はかなり前に少し触った程度なので、詳細設定には自信ありませんが・・・。

編集:以下コメントを追記

こっち側がマルチポストでしたか。 orz
参照URLの掲示板にも全く同じ質問をされていますが、この行為はマルチポストと
言って多くのBBSでは嫌われる行為です。
# net上のBBSでは即時回等が付くケースは稀です。少なくとも数日待っても回答が
# 付かないようなら、理由を明記して他のBBSに質問することはアリですが、数時間
# 以内に複数のBBSで同一内容の質問することは、お止め下さい。

[ メッセージ編集済み 編集者: BackDoor 編集日時 2007-04-05 16:29 ]
jake
会議室デビュー日: 2007/04/05
投稿数: 7
投稿日時: 2007-04-05 16:22
レスありがとうございます。

判り難い説明で申し訳ありません。
これは社内イントラからサーバセグメントへのアクセスという
閉じたネットワークでの使用を目的にしています。

結局のところ、Untrustからの通信をVIPでTrust配下のHostへ飛ばすが、
尚且つHostへ到達する通信については送信元IPをNetscreenのTrust側
IPで到達させて欲しいと言うものでした。

【Netscreen Untrust到達時】

Src Client IP:Any → Dst Untrust IP:80

【Host到達時】

Src Trust IP:Any → Dst Host IP:80

Soruce NATとDestination NATを同時に使うようなイメージですね・・・。

P.S.Netscreenの設定にも投稿してあります・・・。


[ メッセージ編集済み 編集者: jake 編集日時 2007-04-05 16:23 ]

[ メッセージ編集済み 編集者: jake 編集日時 2007-04-05 16:24 ]
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-04-05 17:26
補足説明が不十分だと思います。

引用:
jakeさんの書き込み (2007-04-05 16:22) より:

これは社内イントラからサーバセグメントへのアクセスという
閉じたネットワークでの使用を目的にしています。

結局のところ、Untrustからの通信をVIPでTrust配下のHostへ飛ばすが、
尚且つHostへ到達する通信については送信元IPをNetscreenのTrust側
IPで到達させて欲しいと言うものでした。

ネットワーク図を提示願えませんか?
社内イントラ、サーバセグメントって書かれてもここを見ている方には
何のことか判らないと思います(少なくとも私には判りません)。
# ブロードキャストドメインが別なんですよね?
# できるだけIPアドレス付きで図示願いたいです。

インターネット側(Untrust)からのサーバアクセスはVPNではないので
しょうか?
# VPNでの他拠点間接続なら、VIPの設定は不要に思えます。
# VIPの設定がが必要な理由がどうも理解できません。
# 書かれている内容を見る限り、イントラサーバじゃなく公開サーバの
# 設定に思えるのですが・・・。
jake
会議室デビュー日: 2007/04/05
投稿数: 7
投稿日時: 2007-04-05 18:33
レスありがとうございます。

説明がわかり辛くてすみません。

# ブロードキャストドメインが別なんですよね?

はい、別となります。

# できるだけIPアドレス付きで図示願いたいです。

下記に記載します。
(また判り辛い図になってますです・・・)

# VPNでの他拠点間接続なら、VIPの設定は不要に思えます。

VPNは使用していません。
ただのセグメント間に置く為だけに存在する機器です。

# VIPの設定がが必要な理由がどうも理解できません。

すみません・・・。
VIPに拘らず、実現可能な方法があればご教授ください。

提示されている条件としては下記になります。
・Clientからのアクセス先はNetscreenのポートアドレス(Trust or Untrust)
・Serverへの到達通信はSrcがNetscreenのポートアドレス(Trust or Untrust)



               Untrust   |  Turst
          社内イントラネット   |  サーバーセグメント


      172.16.0.1  192.168.1.2     10.1.1.100
          ↓        ↓           ↓
+------+   +------+   +---------+    +------+
|Client |----|Router|----|Netscreen|-----| server |
+------+   +------+   +---------+    +------+
    ↑          ↑           ↑
 172.16.0.100  192.168.1.1    10.1.1.2

※全て24bitマスク

念の為、実現したい通信の流れを下記に記載します。

@Client(172.16.0.100)はNetscreenのUntrust(192.168.1.2)宛てにアクセス

 【Untrust(192.168.1.2)へ到達した通信】
 Src 172.16.0.100:Any → Dst 192.168.1.2:80

AUntrust(192.168.1.2)へ到達した通信はNetscreenにてServer(10.1.1.100)へフォワード処理

 【NetscreenでDst変換された通信】
 Src 172.16.0.100:Any → Dst 10.1.1.100:80

Bさらに、NetscreenにてソースアドレスをTrust(10.1.1.2)へ変換してServerへ到達

 【NetscreenでSrc変換された通信】
 Src 10.1.1.2:Any → Dst 10.1.1.100:80

また判り辛い記載ですが、宜しくお願い致します。
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2007-04-06 06:02
本来の要件は、

1.クライアント側のルーターには、サーバNWまでの経路を記述しない。
2.サーバには、クライアントNWまでの経路を記述しない。
3.上記で、NATによってクライアント−サーバ間の通信をさせたい。

ということでしょうか。
内部セキュリティ要件としては、ごく一般的です。

であれば、サーバのMIP◇を192.168.1.0のセグメントに作成し、
クライアントのMIP○を10.1.1.0のセグメントに作るだけだと思います。

コード:

[Server]
   |◇10.1.1.100
   |
   |○10.1.1.2 (仮想Client)
[NetScreen]
   |◇192.168.1.2 (仮想Server)
   |
   |192.168.1.1
[Router]
   |172.16.0.1
   |
   |○172.16.0.100
[Client]

これにより、クライアントは仮想Serverまでの経路を持てばよく、
サーバは仮想Clientまでの経路を持てばよいことになります。

_________________
_福田太郎_
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-04-06 09:23
再度の補足説明ありがとうございました。

引用:
jakeさんの書き込み (2007-04-05 18:33) より:

提示されている条件としては下記になります。
・Clientからのアクセス先はNetscreenのポートアドレス(Trust or Untrust)
・Serverへの到達通信はSrcがNetscreenのポートアドレス(Trust or Untrust)
コード:
         Untrust   |  Turst
   社内イントラネット    |  サーバーセグメント

   172.16.0.1 192.168.1.2   10.1.1.100
      ↓     ↓       ↓
+------+  +------+  +---------+   +------+
|Client|----|Router|----|Netscreen|-----|server|
+------+  +------+  +---------+   +------+
    ↑     ↑       ↑
 172.16.0.100 192.168.1.1    10.1.1.2

※全て24bitマスク

念の為、実現したい通信の流れを下記に記載します。

@Client(172.16.0.100)はNetscreenのUntrust(192.168.1.2)宛てにアクセス

 【Untrust(192.168.1.2)へ到達した通信】
 Src 172.16.0.100:Any → Dst 192.168.1.2:80

AUntrust(192.168.1.2)へ到達した通信はNetscreenにてServer(10.1.1.100)へフォワード処理

 【NetscreenでDst変換された通信】
 Src 172.16.0.100:Any → Dst 10.1.1.100:80

Bさらに、NetscreenにてソースアドレスをTrust(10.1.1.2)へ変換してServerへ到達

 【NetscreenでSrc変換された通信】
 Src 10.1.1.2:Any → Dst 10.1.1.100:80

ようやく理解できました。
Netscreenなので、当初はリモートルータとして使用しているのだと思っていました。
# 内部セキュリティ対策用のローカルルータとして動作させてたのね。 orz

すでにたらお様から回等がついてますが、VIPの設定だけで大丈夫です。
Virtual IP : 192.168.1.2
Virtual Port : 80
Map to Service : HTTP(80)
Map to IP : 10.1.1.100

補足:ネットワーク図をかかれるときはCODE タグを使うとずれません。
詳細はFAQ参照
jake
会議室デビュー日: 2007/04/05
投稿数: 7
投稿日時: 2007-04-06 09:40
BackDoorさん、たらおさん、回答ありがとうございます。
(さらに書き込みのコツまでお教え頂いて感謝です・・・)

VIP、もしくはMIPでの設定で解決できるとの事ですね!
ホッとしました・・・。

しかし、一点だけ懸念点があるのですが・・・。

コード:

Bさらに、NetscreenにてソースアドレスをTrust(10.1.1.2)へ変換してServerへ到達 



 【NetscreenでSrc変換された通信】 

 Src 10.1.1.2:Any → Dst 10.1.1.100:80


上記のNetscreenを通過後、Serverへ到達する際のパケット内Src IPアドレスは
NetscreenのTrust側IPアドレスとなるのでしょうか。

昨日、もう一度要望をヒアリングしてみたました。

詳細な要望として、Trust側に流れるClientからの通信内容については、
Srcの内容をTrustポートのIPアドレスとして、ClientのIPアドレスを
到達先であるServer側で隠蔽したいようなのです・・・。
(どういう理由かは不明ですが・・・)

ここまでお付き合い頂いていながら、更に追加確認をするとは恐縮ですが、
念の為に確認したいと思っております。

宜しくお願い致します。

[ メッセージ編集済み 編集者: jake 編集日時 2007-04-06 09:45 ]

[ メッセージ編集済み 編集者: jake 編集日時 2007-04-06 09:47 ]
1|2|3 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)