- 締切済み
Firewall-1のアドレス変換について
現在、Firewall-1 Ver4.1の設定で悩んでいます。 DMZセグメントにプライベートアドレスを付与したサーバを設置し、グローバルアドレスのNAT変換を使用して、外部に公開したいと思っています。オブジェクトの設定でスタティックなNATの設定をしましたが、インターネットからアクセスできません。サーバでsnoopしてみてもパケットがサーバまで届いていないようです。 Firewall-1 ver3.0のWindows版では、たしかオブジェクトにNATの設定をするだけではだめで、ARP解決用のファイルを作る必要があったかと思うのですが、Ver4.1でも、ARP用に何か設定は必要なのでしょうか? 以上、ご教授ください。
- sirius2003
- お礼率32% (71/221)
- ネットワーク
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- Toshi0230
- ベストアンサー率51% (836/1635)
Proxy ARPの設定のことですよね? 記憶がものすごく怪しいですが、確か必要だったような気がします。 とりあえず、外部向けのNICにパケットが届いていないのであれば、Proxy ARPの設定をしてみたらどうでしょう? snoopっつーことはOSはSolarisあたりですか? static arpを外部向けNICで設定するだけでうまくいったりしませんかね? # 本気で自信なし
関連するQ&A
- Firewall-1 アドレス変換について
以前同じような質問がありましたが、Firewall-1のNATアドレス変換についての質問です。(以前の質問は、解決まで至っていませんでした。) お恥ずかしいことに、Firewall-1をあまり理解していないのに運用しています。。。 この度、Firewall-1にて、NAT変換でグローバルIPを設定し、外部公開したいと思っているのですが、うまく外からつながりません。昔同じような設定をした際は、ARPの設定をしたような気がしますが、定かではありません。。。 どなたか、設定のヒントを教えて頂けないでしょうか? ちなみに、DMZの内側からは正常にグローバルIPで接続出来ます。 NAT変換は出来ていると思うのですが、何かチェックポイントはありますでしょうか?
- 締切済み
- ネットワーク
- 【Firewall-1】unknown established TCP packet
こんにちは。 現在、Firewall-1 ver4.1を使ってネットワークを構築しています。DMZセグメントにサーバを設置し、グローバルアドレスに変換して公開しています。 ARPの設定を行いましたが、外部からサーバにアクセスできません。ログを見ると、外部からのTCPのSYNパケットに対する応答が、ファイアウォールで拒否されているようです。rule0でunknown established TCP packetという理由ではじかれています。 どのようにすれば、正常にセッションが張れるでしょうか?
- 締切済み
- ネットワーク
- ファイアウォールにおけるネットワーク分割
・ISPからの割り当て IPアドレス:202.xxx.xxx.96~111 ネットマスク:255.255.255.240(28ビット) 各ゾーンのアドレス ・WAN側:202.xxx.xxx.96/28(グローバル) 97~102をホストで利用可能 96はネットワークアドレス、103はブロードキャストアドレス ・DMZ側:202.xxx.xxx.104/29(グローバル) 105~110をホストで利用可能 104はネットワークアドレス、111はブロードキャストアドレス ・LAN側:192.168.1.0/24(プライベート) (1)ルータのNIC(ファイアウォールに対向する側)とファイアウォールのWAN側NICは、ISPから指定されたIPアドレスとネットマスクをそのまま使用 (2)DMZのネットワークアドレスは、WAN側よりマスクが1ビット長いものを設定。→割り当てられたネットワークの後半部分をサブネットとして切り出すため。 (3)ファイアウォールには、WAN側(96~103)宛てとDMZ側(104~111)宛てのパケットについて、それぞれルーティング設定をしておく。 (4)ルータには、202.xxx.xxx.96~111宛てのパケットについて、ファイアウォールのWAN側NICをゲートウェイとして転送するルーティング設定をしておく。 (4)は、ルータとDMZ側が同一ネットワークアドレスに属する(アドレスが同一とはどういうことか?)にもかかわらず、実際には同一ネットワークに存在しないために必要。この設定がないと、ルータは202.xxx.xxx.96~111宛てのパケットを直接転送する(直接とはどういう意味か?)ために、ARPによって転送先のMACアドレスを得ようとするが、これはDMZ側アドレスに関しては失敗する(なぜ失敗するのか?)ため、通信不能になる。 ()の疑問について教えていただけると助かります。
- ベストアンサー
- ネットワーク
- ファイアウォール・・・
教えてください。 ルータのWAN側はISPよりグローバルアドレスを動的に取得します。LAN側には、たとえば192.168.10.1のプライベートアドレスを振ります。またルータでNATを有効にします。 ルータの下部にファイアウォールを置き、WAN側に192.168.10.2をLAN側には192.168.200.1を振り、セグメントを分け、ファイアウォールでもNATを有効にします。 このような場合、192.168.200.0のネットワーク内のPCのデフォルトゲートウェイは192.168.200.1でよいのでしょうか。 また、このような構成で外部(インターネット側)との通信は出来るでしょうか。ファイアウォールは、外部との通信を許可してます。
- 締切済み
- その他([技術者向] コンピューター)
- WWWサーバを社内に移動するときのFWの設定変更について
セキュリティアドミニストレーター受験予定者です。 ある参考書の問題に次のような話がありました。 DMZのWWWサーバから社内DBへアクセスする際、ポート番号がパケットのたびに変わるのでファイアウォールで通らないときがある。その対策として、WWWをDMZから内部LANへ移動するとよい。しかし、WWWサーバの公開用アドレスから社内用アドレスに変換が必要なため、WWWサーバに新しく付与したIPに対してファイアウォールのフィルタリング設定を行う必要がある。 と書かれていました。しかし少し意味が分かりません。。質問は・・・ 1.DMZにあるときはWWWには公開用アドレスのみ持っていて社内用アドレスは持っていなかったというのは間違いないでしょうか? 2.外部インターネットとWWWサーバは今までどおり公開用アドレスでやりとりするのでその設定に変更はないが、たとえば内部クライアントとWWWがやりとりするときに内部アドレスを使用するのでその設定が必要?ということでしょうか? 3.しかし2の場合、ファイアウォールは通らないので設定が必要ないように思えますが必要となる理由は何でしょうか? 初心者的な質問ですみませんがよろしくお願いします。
- ベストアンサー
- ネットワーク
- Postfixのmynetworksのアドレス
教えてください。 以下のようなメール環境を構築しなければならないです。 http://postfix.robata.org/ouyou.html を参考にさせていただきました。 INTERNET ー ROUTER ー FW ー DMZ内 SMTP ー LAN 内 SMTP&POP FWでNATをします。 外部からのメールは、DMZのSMTP(postfix)で受信し、 LAN内のSMTP(postfix)に、ドメイン宛のメールを内部転送します。 内部から外部へのメールはLAN内のSMTP(postfix)からFWを通って直接外部ヘ送ります。 3点気になっていることがあります。 1点目は、DMZ内 SMTPのmynetworksには、DMZのネットワークアドレスだけ指定すればいいのでしょうか? NAT前のグローバルIPのネットワークアドレスは書かなくていいのでしょうか? 2点目は、LAN 内 SMTPに書くmynetworksには同じくLANのネットワークアドレスだけでいいでしょうか。 送信するLANのクライアントがSMTPとは違うセグメントにある場合(ルーティングされてくるセグメント)は、 その送信元のセグメントのアドレスも含めれば良いでしょうか? NAT環境で特に必ず設定しなければならないものがありましたら教えていただけないでしょうか。 よろしくお願いします。
- ベストアンサー
- Linux系OS
- DHCP グローバルアドレス
教えてください。 PPPOEで接続しているルータの下にあるDMZゾーン内のWEBサーバにNATを使用せずグローバルアドレスをDHCPで付与するということは可能なのでしょうか? OCNでそのようなサービスがあるのでしょうか?WAN側からの接続に問題ないでしょうか? FTPの場合どうなのでしょうか。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- ファイアーウォールを越えてバックアップするには?
DMZ側のサーバから、ファイアーウォールを越えてLAN側のマシンにバックアプするには、ファイアーウォールの設定をどうしたらよろしいでしょうか?
- 締切済み
- ネットワーク
- DMZ内のサーバー間で
FireWallのDMZ内にLinuxサーバが数台あります。いわゆるNATでアドレス変換する形で設置しており、各Linuxはプライベートのアドレスを割り振っています。 サーバ間でtelnetなどする時はプライベートのIPアドレスでアクセスするのが普通でしょうが、動作させているプログラムの関係でグローバルの方でもアクセスできるようにしたい場合、どうやって解決するのが一般的でしょうか? 現在はグローバルIPでtelnetなどしますとサーバに届かずタイムアウトになります。 DMZ内にはDNSもありnslookupで逆引きはできますけれども結局戻ってくるアドレスはグローバルIPなのでやはりアクセスできません。
- 締切済み
- その他(インターネット接続・通信)
- 異なったパブリックIPでWEBサーバーを公開したい
現在は、SSG320でこの構成で動いておりますのでできるとは思われますが、UTMの差し替えがあり、Sonicwall Pro 3060で再構築しているところです。 要件としては、DMZ内にWAN側と異なったセグメントのグローバルネットワークでWEBサーバーを公開する方法を探してます。 設定例 WAN GW グローバルIP 10.10.10.247/29 DMZ ローカルIP 192.168.1.0/24 DMZ グローバルIP 61.205.227.135/26 DMZローカルとDMZグローバルをNATして61.205.227.135/26のセグメントを使用して、WEBサーバーを公開しようと考えてます。 出来る・できないはちょっと不明ですが、イメージとしては、以下をできる機能を探してます。( NATの二重みたいな感じですが・・・) WAN IP → DMZ グローバルIP → DMZLocalIP こんな機能とかってなんかありますかね? 設定する機能名の当たりでも教えてもらえれば後は頑張れそうです。
- ベストアンサー
- ネットワーク
