- - PR -
WAN-DMZ-LAN環境下でのNAT設定とアクセスリストについて
1
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2007-06-14 21:48
最近Roads to Nodeのファイアウォール設定の仕方に刺激を受け
ttp://www5e.biglobe.ne.jp/~aji/3min/ss/ss14.html 自宅のNW環境を再構築したのですが、 NATとアクセスリストについていくつか疑問があり、質問します。 構成としては BBRouter−Cisco2600−遊びPC | サーバPC となっており、 Cisco2600をファイアーウォールとして用いることで a)遊びPC→サーバPC間でNAPT b)サーバPC→BBRouterでNAT(static) c)遊びPC→BBRouterでNAPT をかけ、また、 d)遊びPC→BBRouterについてはACLで全て許可し、 e)BBRouter→遊びPCについては全て不許可 のようなアクセスリストを作る予定でした。 (実際のところBBrouterですでにNATがかかっているので b),c)は不必要なのですが、Rodes to Nodeの環境に 近くしてみようと思いあえてNATしています。) ただ、実際設定をしてみると a)は問題なく設定できましたが b),c)が上手くいきません。 そもそもa)を設定する際にサーバをつないでいる Cisco2600のインタフェースにはip nat outsideを設定していますが、 b)を設定する際には同じインタフェースにip nat insideを設定する必要があり、 なんだかおかしいような気がしています。 Ciscoルータ1台でLAN-DMZ間、DMZ-WAN間のNATを 同時に設定するのはムリなのでしょうか? また、アクセスリストについても d),を設定することは問題なく出来ますが、 e)を加えると通信が出来なくなってしまいます。 戻りのパケットをすべてフィルタしてしまっているからだろうとは思うのですが、 だとするとA→Bは通すがB→Aは通さないような設定はアクセスリストでは 実現できないということでしょうか・・・? A→Bは通すがB→Aは通さないという動作自体は アクセスリストではなくNATでは実現可能だとは思うのですが、 NW構成の元ネタにしているRodes to Nodeの構成では パケットフィルタリングで設定しているようだったので、 どうすればそのような動作が可能なのか知りたいと思っています。 長くなりましたが、NATとアクセスリストについての私の疑問に 答えをお持ちの方、お答えいただければありがたいです。 |
|
投稿日時: 2007-06-15 08:01
こんにちは。
質問内容にあるファイアウォール環境をCiscoルータで実現するには通常は ファイアウォール機能対応のIOSを使用します。 Cisco IOS Firewallなら提示されたURLにある設定は可能です。 たまりん様所有の2600は通常のIPセット等のIOSが入っているのだと推測 されますので、同様の設定は困難かと思われます。 |
|
投稿日時: 2007-06-15 18:58
やはりPIX等Firewall用のIOSを持ったハードでなければ
実現はムリなのですね。疑問が解消されすっきりしました。 ありがとうございました。 |
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。