- 締切済み
DMZの構築方法、DMZとLANの関係について
Bフレッツの固定IP8個割り当ての契約をしています。 ブロードバンドルータ(Allied Tlesis AR450S)を使い、DMZ環境を構築したいのですが、うまく行かず困っています。 目的は、全てのサーバをLAN上で運用している現状に対し、(1)WebサーバをDMZに配置し、インターネットからの問い合わせに対し、LAN内に配置した(2)DBサーバから結果を返すというものです。 また、LAN内には(3)FTPサーバを残し、これまで同様に外部からアクセスできるようにします。 (サーバをLAN内に置くのが良いかどうか、セキュリティ上正しい選択なのか分かりません・・・) (質問その1) DMZに配置するサーバは、グローバルIPアドレスを直接割り当てて運用するものだと思っていたのですが、配置するにはプライベートIPアドレスも必要なのでしょうか? (質問その2) DMZに配置したサーバとLAN内に配置されたPCとでは、通常のネットワーク接続(LAN上にあるPC同士がフォルダを共有するようなこと)が可能なのでしょうか?また可能であればどのような方法があるでしょうか? (質問その3) 廉価なブロードバンドルータが1台余っており、ルータを2台使って、中間層をDMZとする方法もあると聞きました。具体的にはどうすればよいのでしょうか? (質問その4) グローバルIPアドレスのうち、2つをDMZ用に、残りをLAN内のPCの外部アクセス用に、・・・などというような使い分けはできるのでしょうか? 上記AR450Sのマニュアルの設定例では全てのアドレスをDMZ化し、その1つを外に出るために共有する方法が載っていました。 なにぶん、独学でネットワークを勉強しているので、聞ける人が周りにいません・・・。 ネットワークに明るい方がいらっしゃいましたら、部分的にでも結構です。ご教授願います。 具体的な例を入れて頂けると助かります。 よろしくお願いします。
- kaz2014
- お礼率66% (4/6)
- ネットワーク
- 回答数1
- ありがとう数2
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- JAWS55
- ベストアンサー率38% (176/452)
1)DMZ内ではプライベートIPを使用します。ルータがWAN側に対してNATでグローバルIPとローカルIPのマッピングを行います。ルータのNATの設定をしてください。 2)可能です。その場合はLAN-DMZ間でTCP/IPのポート137,138,139(NBT =NetBIOS over TCP/IP)をオープンしてください。 3)できます。グローバルIPのうちの一つはルータのWAN側に割り当てます。そのアドレスでLAN側のPCから外部にアクセスできるようにNATまたはIPマスカレードの設定をしてください。 >上記AR450Sのマニュアルの設定例では全てのアドレスをDMZ化し、その1つを外に出るために共有する方法が載っていました。 この設定でいいと思います。
関連するQ&A
- ルータのみでDMZ構築
フレッツADSLを契約し、Webサーバーの公開をしたいと考えており、ルータを購入しようとしています。 ルータのみでDMZを構築でき、ローカルなLAN上のPCへの不正侵入を阻止できるルータを探しています。 ご存知の方、教えてください。
- ベストアンサー
- ネットワーク
- DMZとLAN内ブリッジ接続
webサーバー運営に向けてセキュリティについて勉強しています。 わからないことがあるので教えてください。 ルーター(PPPoE,NATを実行、セッションは1つと仮定)以下にサーバーを立てて、誰かにサーバーに侵入されrootを奪取された場合、ルーター以下のPCにも被害が及ぶことがあるとどこかで読んだのですがそれはなぜですか?LAN内ブリッジ接続を許可している場合、LAN内の他のPCにアクセスできるからでしょうか? そのためDMZのようなサーバー配置がいいと聞きました。 サーバーの管理人など詳しい方ご教授お願いします。
- ベストアンサー
- ネットワーク
- Windowsネットワークの構築方法
Cisco CCNAを取得したシステム管理者(初心者)です。 弊社では、現在バッファロー製ルータを使用して一つのネットワークで 日常業務を運用しております。 ネットワークには、ファイルサーバ×1台、NWプリンタ×2台、PC×30台在ります。 今回、上司から複数のネットワークに分けて運用するように指示がありましたので、ルータの直下にCisco製L2スイッチを設置しVLANで複数のネットワークを作成しようと思ってます。 そこで、複数のネットワークに分けた場合、セグメントを越えて、ファイルサーバやNWプリンタにアクセスできるのでしょうか。その場合、ルータ、スイッチ、サーバ、プリンタ、PCに特異な設定(例えばIPエイリアス)は必要でしょうか? また、アクセス方法は¥¥サーバ名¥フォルダ名のようにIPアドレスでなくサーバ名でアクセス可能でしょうか? ちなみに、現在のネットワークアドレスと機器のIPアドレスは以下のとおりです。 ネットワークアドレス:192.168.1.0/24 IPアドレス(ルータ):192.168.1.1 IPアドレス(サーバ)192.168.1.3 IPアドレス(プリンタ1)192.168.1.11 IPアドレス(プリンタ2)192.168.1.12 IPアドレス(PC)192.168.1.201~ L2スイッチ導入後の追加ネットワークアドレス 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24
- 締切済み
- その他(ITシステム運用・管理)
- DMZと社内LANは違うWindowsドメインにすべき?
Windows NT4.0が出た頃に構築された社内LAN&インターネットサーバ環境を、今頃ようやくWindows Server 2003 R2 & Windows 2000 Serverで構築されたネットワークにアップグレードしようとしています。 現在の状態は(ネットワークを構築した当時のセキュリティの観点からなのか)インターネットサーバが置いてあるDMZと、社内LANがわざわざ別のNTドメインになっています。 今回、Active Directoryで構築し直すに当たって、やはり同じようにドメインを分ける必要があるのかどうか判らず、教えていただければと思い投稿しました。 現在は、社内LAN、mailサーバ、wwwサーバ、DBサーバ全てがWindowsNT4.0になっています。 mailサーバとwwwサーバにはそれぞれ社内LANのサブネットと同じプライベートアドレスが振ってあり、Firewallでグローバルアドレスに変換して外部からアクセスできるようになっています。これをDMZと呼んで良いのかどうか判らないのですが一応DMZと呼んでいます。 社内LANのNTドメイン(DOMAIN-Aとします)と、このDMZにあるmailサーバ、wwwサーバ、そして社内LANにあるDBサーバから構成されたNTドメイン(DOMAIN-Bとします)という二つのNTドメインが存在しています。 そして、OSが古かったからかもしれないのですが、DMZのNTドメインには以前外部から侵入された形跡があり、知らないユーザーアカウントが登録されたことがありました。そんなこともあったので、外部からアクセスできる領域は別のドメインにしておいた方がより安全なのかも、と思ったりしています。 しかし一方で「今はそんな面倒な組み方してる所はないよ」という話かもしれず、現在の主流な組み方が判らないので教えていただけないでしょうか。 よろしくお願い致します。
- ベストアンサー
- ネットワーク
- LANの構築について
いま、パソコンが一台与えられており、そのパソコンにはLANボードが1枚刺さっています。プライベートIPアドレスAが一つ与えられ、プロキシサーバ(IPアドレスはX)などの設定が指示されています。 新しいIPアドレスを請求せずに、持ち込みのパソコンを2台以上接続する方法として、以下の二つを考えました。 1.今あるパソコンにプロキシサーバのソフトを入れる すでに与えられているパソコンにさらにLANボードを刺し、運用されていないプライベートIPアドレスBを割り当てる。 そのパソコンにプロキシサーバのソフトを入れ、そのソフトの設定は、指示されたさらに上位のプロキシサーバXにアクセスするよう適切に設定する。 新しく追加したLANボードにはスイッチングハブを繋ぎ、持ち込みのパソコンはそのスイッチングハブに繋ぐ。 持ち込みのパソコンは、プロキシサーバにBを設定する。 2.ルータを使用する ルータを用意し、WAN側には、与えられているIPアドレスAを設定する。 ルータのLAN側、与えられたパソコン、持ち込みのパソコンには、それぞれ適切に、運用されていないプライベートIPアドレスを設定する。プロキシサーバXの設定もそれぞれのパソコンに行う。 手元に、スイッチングハブは2台ありますが、ルータやLANボードはありません。上の2つの方法では、どちらも新しく購入しなければならないものがあります。上の二つ以外に、解決の方法は何かありますでしょうか?
- ベストアンサー
- その他(インターネット接続・通信)
- SonicWALL DMZではまっています。
SonicWALL DMZについて質問します。 LAN,DMZ,WANにそれぞれ、端末・ルータを接続しました。 DMZ側からWANにpingは通ります。また、WAN側からDMZにpingが通ります。 ですが、LANに接続されたローカルアドレスの端末からDMZ側にあるDNSサーバやWWWサーバに接続しようとしても、接続できない旨のメッセージが表示されます。 なお、設定は、ほとんどしていません。(とはいいましても、マニュアル通りのことはしてあります。) また、ファームウェアは4.1.1を使用しています。 どのようにすればLANからDMZもしくはWANに出られるのでしょうか。
- 締切済み
- その他(インターネット接続・通信)
- 自宅内LANを構築しての疑問
xpの標準機能を使って自宅内のPC3台でネットワークを作り運用しています。共通のルーター経由で光回線のインターネットへ出ていけます。 今回新しいPCを買ってきてLAN接続したところ、いきなり自宅のネットワークにつながり3台のPCの共有フォルダが見える状態です。 このような状態で外部からの侵入を防げるのでしょうか?ルーターによって守られていると考えてよいのでしょうか?すべてのPCにはノートン360を導入済です。 シロウト質問でスミマセンがよろしくお願いします。
- ベストアンサー
- ルーター・ネットワーク機器
- DMZ内のサーバに残るアクセス元IPアドレスについて
DMZ内のサーバに残るアクセス元IPアドレスについて 現在、JuniperのSSG5-ISDNを使用して、インターネットからアクセスできないLAN、インターネットからアクセスできるDMZを分けております。 で、インターネットからDMZにアクセスすると、アクセスもとのグローバルアドレスがアクセスログとして残りますが、LANからDMZにアクセスするとルーターのDMZポートのIPアドレスが出ます。 たぶんNATの役割を果たしているんだと思いますが・・・。 これを、インターネット→DMZのようにLAN→DMZもマスカレードされないようにすることはできますでしょうか。
- ベストアンサー
- ネットワーク
- DMZのwebサーバがLANから閲覧できない
DMZにサーバをのせようとしていますが、 うまくいきません。 どなたかアドバイスをお願いいたします。 [現象] DMZにwebサーバをのせました。 外部からはテストページの表示ができるのですが、 社内LANからテストページの表示ができません。 [環境] サーバOS :centos5.2 /etc/sysconfig/network-scripting/ifcfg-eth0 には、 gatewayの設定はしていますせん。 (ネットワーク管理者に不要だといわれたため) サーバは、 ファイアウォール・VPN・リモートアクセスなど ゲートウェイ機能搭載の中小規模オフィス向けネットワークサーバーを経由して、 外部、LANそれぞれと通信します。 [確認した事項] 下記の内容を、サーバのファイアウォールをはずして検証してみました。 ネットワークサーバのログは見られません。 (1)外部からアクセスしたとき ・pingは通る ・webテストページの表示ができる ・ネットワークサーバーのログは正常に通信していると残っている。 (ヘルプデスクに確認) (2)社内LANからアクセスしたとき ・pingが通らない ・webテストページの表示ができない ・ネットワークサーバーのログによると、DMZのサーバへ要求は投げているが、 DMZのサーバからの戻りはない。 (ヘルプデスクに確認) サーバのログは以下のとおりです。 ・正常なやりとりのログ [root@iserver ~]# tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 21:31:46.754868 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 57592, seq 0, length 64 21:32:26.871001 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 57592, seq 0, length 64 21:31:46.870377 IP (問題のサーバのドメイン名).44291 > (LAN内のDNSのIP).domain: 41736+ PTR? (問題のサーバのIPを逆から表示したもの).in-addr.arpa. (45) 21:31:47.765841 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 48562, seq 1, length 64 21:31:47.765858 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 48562, seq 1, length 64 21:31:48.775690 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 52530, seq 2, length 64 21:31:48.775707 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 52530, seq 2, length 64 21:31:49.786146 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 15423, seq 3, length 64 21:31:49.786161 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 15423, seq 3, length 64 21:31:50.796110 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 15768, seq 4, length 64 21:31:50.796124 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 15768, seq 4, length 64 ・LANからの異常なやりとりのログ 21:35:04.456219 arp who-has (問題のサーバのIP) tell (社内のIPと思われるもの-2) 21:35:04.456241 arp reply (問題のサーバのIP) is-at (MACアドレス2)(oui Unknown) 21:35:04.456374 IP (問題のサーバのドメイン名).48609 > (LAN内のDNSのIP).domain: 42979+ PTR? (社内のIPと思われるもの-2を逆から表示したもの).in-addr.arpa. (45) 21:35:04.456493 IP (PINGを実行したLAN内マシンのIP) > (問題のサーバのIP): ICMP echo request, id 512, seq 513, length 40 21:35:04.456787 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:05.456851 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:06.456914 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:09.453100 arp who-has (LAN内のDNSのIP) tell (問題のサーバのドメイン名) 21:35:09.453151 IP (問題のサーバのドメイン名).45524 > (DNSのIP).domain: 42979+ PTR? (社内のIPと思われるもの-2を逆から表示したもの).in-addr.arpa. (45) 21:35:09.453401 arp reply (LAN内のDNSのIP) is-at (MACアドレス) (oui Unknown) 21:35:09.961830 IP (PINGを実行したLAN内マシンのIP) > (問題のサーバのIP): ICMP echo request, id 512, seq 769, length 40 21:35:09.965131 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:10.965194 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:11.965256 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)
- ベストアンサー
- Linux系OS
お礼
ありがとうございます。参考にさせて頂きます。 AR450Sのマニュアルに載っているDMZの構築方法では、DMZ内のサーバはグローバルアドレスで運用するという表現になっているんです、、、(これが混乱の元になっています) あとは、ネットで調べたところ「NBTを使うと、サーバが乗っ取られた場合にLAN内のPCにアクセスしやすくなる」ので、「NetBEUI」がいいとも書かれていました。XPでは標準でインストールされていないようですが、この辺も探ってみようと思います。