• ベストアンサー

DMZ領域のWebサーバから外部にアクセスできない

前回別の部分で質問しましたが… 申し訳ないですがもう一度質問させて下さい。 現在社内LANとインターネットをFW経由で接続するべく設定を行っています。 構成は以下の図のとおりです。  Internet     |     | ------------------ | ブロードバンドルータ | ------------------     | LAN側 *.*.*.41     |     | Untrust /eth03 / Route/ trust-vr     | *.*.*.45                          192.168.100.1 -------------DMZ / eth02 / Route /trust-vr  ----------------- |          | 192.168.100.254            |            | | netscreen-50|-----------------------------|  Webサーバ   | |          |                      .|            | -------------                      -----------------     | Trust / eth01 / NAT / trust-vr     | 192.168.4.254     |     |   Switch     |     |   Intranet *は同じセグメントです。 ここで、DMZ領域のWebサーバからルータへの通信ができずに困っています。 ルータの外側からWebサーバへのpingは応答があるのですが、 Webサーバからルータ(*.*.*.41)へのpingがタイムアウトになってしまいます。 しかし、FWのeth02をTrustにするとWebサーバからルータへのpingが通るようになります。 似たような事象の質問(http://oshiete1.goo.ne.jp/kotaeru.php3?q=1950661)があったので 参考にしたのですが、どうしてもこの部分だけが解決しません。 この事について何かお気付きの方がいらっしゃいましたら、ご教示下さると助かります。 よろしくお願い致します。

質問者が選んだベストアンサー

  • ベストアンサー
  • Elgado
  • ベストアンサー率43% (174/404)
回答No.1

>>Webサーバからルータ(*.*.*.41)へのpingがタイムアウトになってしまいます。 Webサーバ、ルータ共にNSが持っているネットワークなのでルーティングの問題では無く、 ポリシーが無いんだと思います。 (DMZ→Untrust)のポリシーにDMZネットワークからルータネットワークへのPingの穴が 開いているかを確認してください。

virgin_steele
質問者

お礼

遅くなってしまいましたが、おかげさまで解決致しました。 ありがとうございました。 方法としましては、DMZ→Untrustのポリシー設定(PING、HTTP、DNS等)の他に、 ・eth02と03をそれぞれ"NAT / untrust-vr"、"Route / untrust-vr"に変更 ・eth03に192.168.100.1へのMIPを設定 ・ルーティング設定にて、trust-vrのデフォルトゲートウェイをuntrust-vrに、 untrust-vrのデフォルトゲートウェイをルータのIPアドレスに それぞれ変更したところ上手く通信させる事が出来ました。 度々の質問でお手数をおかけして申し訳ありませんでした。

その他の回答 (1)

  • oha000
  • ベストアンサー率20% (1/5)
回答No.2

これだけの情報では推測の域をでませんが、可能性としてはNo1で回答されている事象が高いです。 このようなときはまず、FireWall(今回はNetScreen)のログを見ましょう、denyされている等手がかりが記録されている可能性が高いです。

virgin_steele
質問者

お礼

回答ありがとうございます。 ログを参照してみたのですが、特にこれといった情報は記載されていませんでした。 そのかわり、No.1にてお返事した内容で解決する事が出来ました。 ありがとうございました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • NetScreen50でTrust→DMZのPINGが通らない

    現在社内LANとインターネットをファイアウォール経由で接続するべく設定を行っているのですが、 ファイアウォールのTrustポート→DMZポート間のpingが通らず困っています。 マニュアルを見ても良く判らないレベルです…。 一応、簡単な構成は以下の通りです。 社内LAN(192.168.*.*) → Switch → FW 192.168.4.254/24 (eth01:Trust) →  → FW FW *.*.*.45/29 (eth02:DMZ) → ルータ → インターネット FW機種:NetScreen-50 ・社内LANからはFWのeth01までpingが通ります。 ・FWのeth01(Trust)、eth02(DMZ)共にInterface Modeを"NAT"または"Route"で試してみましたが駄目でした。 ・ポリシーの"Trust to DMZ"で"Any Any Any(またはPing) Permit"と設定してあります。  また、Interfaceの設定でもeth01、02共にPINGは許可してあります。 これを読んで何かお気付きの方がいらっしゃいましたら、ご教授下さると助かります。 よろしくお願い致します。

  • Netscreen25 で DMZ->Internetへ接続できません

    Netscreen25 で DMZ->Internetへ接続できません(長文)。 下記のような構成で自宅LANを構築しているところです。 TrustZoneからInternetへの接続はできたのですが、DMZからInternetへの接続がどうしてもできません(外部IPへのPing不可、Web見れない)。 この程度のトラブルシューティングもできない初心者ですが、アドバイス等頂ければ幸いです。 OKWave質問時の文字数制限のため、補足にてCONFIGも添付致します。 【構成】 eth1@Netscreen25 === Catalyst2960 === 端末1(Windows7) ・(Trust:192.168.0.0/24) ・I/FはNATモード、192.168.0.1/24 eth2@Netscreen25 === Server(CentOS5.5) ・(DMZ:192.168.254.0/24) ・I/FはNATモード、192.168.254.1/24 eth3@Netscreen25 === 回線終端装置 === (Internet) ・(Untrust:PPPoE接続) ・I/FはRouteモード、IPはISPからグローバルIP自動割当 <Routing Entries> [untrust-vr] なし [trust-vr] * 192.168.0.0/24 0.0.0.0 ethernet1 C 0 Root * 110.165.139.70/32 0.0.0.0 ethernet3 C 0 Root 0.0.0.0/0 202.216.4.204 ethernet3 S 1 Root * 0.0.0.0/0 202.216.4.204 ethernet3 C 1 Root * 192.168.254.0/24 0.0.0.0 ethernet2 C 0 Root 192.168.254.0/24 192.168.254.1 ethernet2 S 1 Root 192.168.0.0/24 192.168.0.1 ethernet1 S 1 Root 【現状】 ※Policiesは一時的に全ての方向とプロトコルをPermitにしています。 ・PING疎通 ◎端末1-> Internet ◎端末1-> Server ◎Server -> eth2@Netscreen25(192.168.254.1) ◎Server -> eth3@Netscreen25(ISPから自動割当されたグローバルIP) ×Server -> Internet(例yahoo.co.jp) ◎Server -> 端末1 ・HTTP接続 ◎端末1-> Internet ◎端末1-> Server ×Server -> Internet 【症状】 DMZのI/F配下のServerから、Internetに接続することができません。 ちなみに、Server側の設定に問題があるのか調べてみるために、ServerをTrustZoneのI/Fに接続したところ問題なくInternetに接続できました。 【Netscreen25のCONFIG】 ※OKWave質問時の文字数制限のため、補足にてCONFIGも添付致します。 ※管理者バスワード等のNW設定意外の行は省かせていただきます。 ※Netscreen25のOSのバージョンは5.0.0r10d.0です。

  • NetScreen 25 DMZの設定について

    NetScreen 25で次のNetwork 構成化のとおりに設定を進めましたところ DMZのネットワーク設定でUntrustで既に使われているアドレスの為、設定が できません。 NetScreen 25ではUntrustとDMZが同じネットワークアドレスを設定することは できないでしょうか? 知っている方がいらっしゃいましたら設定などを含めて教えて頂けると助かります。 Network 構成 ------------------------------------------ メディアコンバーター 10.10.10.1 | | | | 「 Untrust 」 | 10.10.10.0/28 | 「 DMZ 」 10.10.10.0/28 NetScreen 25 --------------------- Server(10.10.10.3) | | 「 trust 」 | 192.168.10.0/24 | | | P C 192.168.10.35 -------------------------------------------------------- NetScreen 25 【 インターフェース設定例 】 interface 1 trust 10.10.10.0/28 interface 2 Untrust 192.168.10.0/24 interface 3 DMZ 10.10.10.0/28

  • RedHatで構築したファイアウォールサーバのDMZにアクセスできない

    RedHatで構築したファイアウォールサーバのDMZにアクセスできない原因が解らない。 『図解でわかる Linuxサーバ構築・設定のすべて 一戸英男(日本実業出版社)』を参考に、 RedHat Enterprise Linux 5 で ファイアウォールサーバ(以下、FW-Server)の構築を勉強しています。 構築した環境は以下になります。 ======================== TestPC : RedHat ----------------------- IP : 111.222.333.65/28 ========================   | ========================== FW-Server : RedHat              ===================== --------------------------         Web-Server : RedHat eth0 : 111.222.333.70/28           ---------------------  eth2 : 111.222.333.73/29 --- DMZ --- 111.222.333.75/29 eth1 : 192.168.1.1                ===================== ==========================   |   |   LAN eth0 : WAN eth2 : DMZ eth1 : LAN と、想定して構築しています。 route、iptables の設定は、本の通り設定を行ったつもりなのですが、 TestPCからWeb-Serverに接続する(Webページを表示する)ことができません。 ・Ping について TestPC からは、Pingは eth0、eth2 まで飛び、Web-Serverまで飛ぶことができません。 LAN からは、PingはWeb-Serverに飛び、Webページを表示することができます。 FW-Serverからは、PingはWeb-Serverに飛び、Webページを表示することができます。 ・tcpdump コマンドについて FW-ServerとWeb-Serverでtcpdumpコマンドを実行し、TestPCから接続を試みたところ、 FW-Serverでは反応がありますが、Web-Serverでは反応がありません。 ・route の設定について routeの設定は以下になります。 route add -net 111.222.333.72/29 gw 111.222.333.73 eth2 route add -net 111.222.333.64/28 gw 111.222.333.70 eth0 route add -net 192.168.1.0/24 gw 192.168.1.1 eth1 route add -net 0.0.0.0 gw 111.222.333.65 eth0 ・iptables の設定について iptablesの、基本ポリシーと各NICのFORWARDの設定は以下になります。 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -o eth2 -j ACCEPT iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT iptables や route の設定を変えて接続テストを行っていますが、接続することができません。 RedHat については、インストールから行っています。 ネットワーク初心者ですので、行った設定について不備な点・怪しい点について見当がつきません。 確認事項だけでもアドバイスを頂けると助かります。よろしくお願いします。

  • Netscreen-25でのDMZ構成

    Netscreen-25でのDMZ構成を設定しているのですが、 Netscreenのマニュアルをみてもよく分からず困っております。 ScreenOSは5.0.0r6.0です。 現在の構成は下記のようになっております。 (割振られてるIP : 210.111.222.0/28) IP16個です。   至インターネット        | -------------------- | メディアコンバータ  | --------------------             210.111.222.10(UntrustのMIPで設定)        |                       ↓        | 210.111.222.1             192.168.10.10 -------------------- 192.168.10.1    -------------------- |  netscreen-25    |----- Swith ------|  Webサーバ       | DMZ領域 --------------------             --------------------        | 192.168.1.1        | ------  |      ------ | PC |-- Switch --| PC |  社内LAN領域 ------.20     .21------ UntrustのMIPの設定は、  Mapped IP 210.111.222.10  HostIP   192.168.10.10  VRouter  trust-vr としており、PoliciesにはHTTPをPermitする事で、 インターネット側からはWebサーバを参照することができます。 で、やりたい事は、 ・社内LAN領域からWebサーバにローカルIP(192.168.10.10)でアクセスしたい ・逆にWebサーバから社内LAN領域にアクセスしたい のですが、Policiesを設定しても何ともなりません。 何か設定すればできるのか、DMZというのはそういう事はできないのか それすらも理解しておりません。 何かアドバイス、参考になるURL等ご存知の方 お返事頂けますと幸いです。宜しくお願いいたします。

  • DMZ上へのメールサーバ(SMTPとPOP)構築について

    現在メールサーバはASPを利用しており、社内に環境はありません。 今回、社内に設置してあるFWに、DMZを新設して、 そこにメールサーバを設置しようとしています。 通常なら、DMZにはSMTPサーバ(メールリレーサーバ)のみ設置し、 POPサーバ(Exchange等)は社内LANに設置する方法がセキュリティ的にも 妥当かと思いますが、今回の用件としては、どうしてもインターネット上からの、 メール参照が必須となります。 (インターネット上からDMZ上のPOPサーバにPOPしに来る) 要は、自宅からメールが見たいということになります。 そこで、FWに空ける穴としては、下記追加を想定しておりますが、 問題等あればご指摘願いますでしょうか。 Untrust⇒DMZ ・・・SMTP(25)、POP3(110)を許可 Trust⇒DMZ ・・・SMTP(25)、POP3(110)を許可 ※なお、SMTPサーバ、POPサーバはPostfixでの構築です。

  • SonicWALL DMZではまっています。

    SonicWALL DMZについて質問します。 LAN,DMZ,WANにそれぞれ、端末・ルータを接続しました。 DMZ側からWANにpingは通ります。また、WAN側からDMZにpingが通ります。 ですが、LANに接続されたローカルアドレスの端末からDMZ側にあるDNSサーバやWWWサーバに接続しようとしても、接続できない旨のメッセージが表示されます。 なお、設定は、ほとんどしていません。(とはいいましても、マニュアル通りのことはしてあります。) また、ファームウェアは4.1.1を使用しています。 どのようにすればLANからDMZもしくはWANに出られるのでしょうか。

  • Redhat7.3でDMZ構築

    Redhat7.3を使用して、以下のようにNIC3枚でDMZを構築しようとしています。 WAN  | Linux -WWW(DMZ)  | LAN 仮に以下のようにIPを設定します。 ・WAN側ネットワーク 172.31.0.0/24 ・eth0(LAN) 192.168.1.1 ・eth1(WAN) 172.31.1.10 ・eth2(DMZ) 172.31.1.11 ・WWW(DMZ内に設置) 172.31.1.12 このとき、以下のような状態になってしまいます。 ・WAN側からWWWにアクセスできない。(pingが通らない) ・WAN側からeth1,eth2へはpingが通る。 ・LinuxからWWWへはpingが通る。 WAN側からWWWにアクセスできるようにするには、どのような設定をすべきでしょうか? 上記の構成以外にも、DMZ側とWAN側が同一セグメントになるような設定があれば、そちらも検討したいので、ご教授願います。

  • Juniper/SSG5のDMZの設定

    Juniper/SSG5(6.1.0r2.0)のDMZの設定について教えて頂きたい。 Eth0/0(Untrust)は、プロバイダからPPOE経由で、固定IP[8IP]を取得しております。 Eth0/1(DMZ Zone)に、固定IPを使用したサーバ複数台を接続設置しようとしています。 SSG5のネットワークの設定: Untrust側:固定IP[8IP]の1番目 DMZ側 :固定IP[8IP]の2番目 サーバ:固定IP[8IP]の3番目 としました。 固定IPが[8IP]なので、DMZのサブネットマスクを[29]とするとエラーとなり設定を行なうことが出来ません。 DMZのサブネットマスクを[32]とすると設定はできますので DMZのサブネットマスクがUntrustのアドレス範囲となると、設定ができない状況です。 設定漏れ等が考えられます。ご教授をお願いします。

  • DMZに配置したWEBサーバーからDBサーバー

    以下構成の接続でWEBサーバーをDMZに配置した場合、LAN環境のセキュリティーは担保されますでしょうか WEBサーバー、DBサーバー共に2枚目のNICにLANとは別セグメントのIPを割り当て通信を行おうと考えています。 よろしくお願いいたします。 LAN  192.168.1.0/24 WEBサーバー  NIC0 DMZ  NIC1 192.168.11.1 DBサーバー  NIC0 192.168.1.100  NIC1 192.168.11.2

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する