- - PR -
Netscreen 5GTでのNAT
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-04-06 10:48
それは無理だと思いますが・・・。 可能だとすると、HTTPリクエストに対する返信先が判らなくなり、通信できない ことになります。 代替案とすれば、Proxyを間に挟む程度しか解決法は無いのでは? と思います。 編集:下記コメントを追加 Netscreenはまだ導入前でしたか? 詳細要求内容に因りますが、どうもNetscreenを導入するよりは、Proxyサーバの 導入検討に方向性を変えたほうが良さそうに思えます。 [ メッセージ編集済み 編集者: BackDoor 編集日時 2007-04-06 10:56 ] | ||||||||
|
投稿日時: 2007-04-06 11:36
BackDoorさん回答ありがとうございます。
やはり実現はできませんよね・・・。 機器自体は購入してしまっているので、VIPで構築し、 Client IPアドレスの隠蔽は不可と説得しようと思います。 これまでお付き合い頂きありがとうございました! | ||||||||
|
投稿日時: 2007-04-07 11:02
こんにちは。
えーと、ScreenOSのリファレンス見る限りでは、普通にできそうですが…。 ただ、実機を見て言っているわけではないので、保証はしません。 実機購入前の検討状態なら、販社等にウラはとってください。 ※5GT を使った経験はない ( 25以上しかない ) ので、機種によって制限があるのならば分かりませんが。多分関係ないところだと思いますがね…
というのは、確かに謎ですけどね。 VIPで、 UntrustポートのアドレスのTCP80番→サーバのアドレスのサービスポート ポリシーで、 Untrust-Any ( もしくはアクセスさせたいクライアントを別個指定 )→ VIP:80 を許可 + 詳細設定で Src NAT 指定 という設定かと。 なお、リファレンスマニュアル8章の「NAT-Src - Egress インターフェースIP アドレスに変換」を想定しています。 [ メッセージ編集済み 編集者: angel 編集日時 2007-04-07 11:55 ] | ||||||||
|
投稿日時: 2007-04-07 11:07
細かいところですが、
DMZにWeb/APサーバ、TrustにDBサーバといういうな構成であれば 5GT Extended が必要ですけど、スタンドアロンの公開Webサーバであれば Extended は必要ないですよね? ( Trust に Webサーバ ) | ||||||||
|
投稿日時: 2007-04-07 11:55
angel様、補足ありがとうございます。
この設定で可能になるとは知りませんでした。勉強になりました。
確かに可能です。 ただ個人的には、公開Webサーバがハックされた場合Trust側は公開Webサーバを踏み台に アクセス可能になる危険性があるので好まない構成ですね。 # 心配症なんで・・・。気にしないで下さいwww | ||||||||
|
投稿日時: 2007-04-07 13:09
お返事ありがとうございます。BackDoorさんのお気持ちは良く分かります。 ゆえに「スタンドアロンの」と限定したわけでして。 いえ、少し前にこのような経験があったもので。 angel:インターネット公開Webサーバ保護用に、Netscreen5GTを採用しようと考えているのですが。 販社:公開サーバ用であれば、DMZをサポートしたExtendedが必要ですよ。 angel:(インターネット)-[Netscreen]-[サーバ(1台)] というスタンドアロンの構成なのですが。 販社:公開サーバ用であれば、Extendedが必要ですよ。 angel:他の機器をつなぐ予定はないので、3ゾーンも必要ないのですが、Extendedでなければ実現不可能ですか? 販社:… ( 注:もちろん脚色は入っています。が、やりとりした内容はこんな感じで。 ) 追記:「スタンドアロン」というと、普通は「何処にもつながっていない」という意味になるのでしょうかね…。そうすると上の文章はヘンですね。 [ メッセージ編集済み 編集者: angel 編集日時 2007-04-07 13:20 ] | ||||||||
|
投稿日時: 2007-04-09 12:01
BackDoorさん
angelさん 返信ありがとうございます。 angelさんの回答を見て目から鱗の気分です・・・。 リファレンスを参照しましたが、確かに実現出来る可能性はありますね・・・。 こちらの件は代理店に確認してみます! | ||||||||
|
投稿日時: 2007-04-09 21:41
ポイントは、NATテーブルがI/Fごとに処理できるのか、
内部で一回しかNAT処理できない構造なのかの違いだと思います。
NATの実装では、暗黙のフィルタを作成し、フィルタに合致すれば フィルタアクションとしてIPパケットヘッダを書き換えます。 ということは、IN方向にもOUT方向にもフィルタが記述できる機器なら、 本件の要件を果たすことができると考えられます。 前述×の内部構成でも、NATテーブルの仕様によっては、 送信元と送信先を同時に書き換え可能だと思います。ファームウェア次第ですね。 スループットを優先するなど、意図的な制限があれば別ですが。 普通にINとOUTのフィルタが書けるなら、NAT恐るるに足らずです。 _________________ _福田太郎_ | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。