- ベストアンサー
DMZとグローバルIPアドレス
LANの外部にDMZを拵える場合には、 グローバルIPアドレスのセットを入手せねばならないのでしょうか? 入門レベルの質問で御邪魔を致しますが、 DNSラウンドロビンとの関連性の有無もが分かりますと、 更に助かりますから、諒察を御願い致します。
- JidousyaGaisya
- お礼率36% (229/631)
- その他([技術者向] コンピューター)
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (1)
- hrsmmhr
- ベストアンサー率36% (173/477)
DNSラウンドロビンは複数のサーバでサイトユーザのリクエストを処理するために行うもので 複数のサーバにはそれぞれグローバルIPアドレスが割り振られなくてはなりません DMZとはまた別の話でして、もちろんDMZ内に複数のサーバをおいても構いませんが DNSラウンドロビンとは独立した話になります
補足
有り難う御座います。 畏れ入りますが、念の為に確認をさせて下さい。 DNSラウンドロビン用のサーバ群はDMZ内へ置かれていなくとも構わないのでしょうか? 因みに、現時点での拙い私見では、DNSラウンドロビンとかロードバランサとかが同じ種類のサーバへの負荷を分散させているのだろう、と思われますから、此の質問が的外れになっているかも知れませんが、御容赦を御願い申し上げます。
関連するQ&A
- ディザスタリカバリーにおけるグローバルIPアドレス
繁忙期が年に数度あるWebサイトにおいてディザスタリカバリーとして、 サービス提供サーバーがダウンした時に別サーバーへ誘導したいと考えています。 障害時の切り替えは、DNSラウンドロビンでは携帯電話等で問題が生じると噂されているため、 ロードバランサー(冗長化目的)で対応しようと調査しています。 この際、主系と待機系拠点のサーバー配置施設は地理・ネットワーク経路・運営業者を全く別で構成した場合、ロードバランサーに付与するVIP(WebサイトのIP)は、どこのグローバルIPを利用するべきなのでしょうか? 2拠点の何れかのネットワークに障害が起きた際に、切り替え出来ないと問題ですので、 2拠点の何れかのグローバルIPをVIPに利用するのは如何なものかと悩んでいます。 結局、安心できるインフラを自前構築するか、VIP非公開でロードバランサー個別をDNSラウンドロビンするしかないのでしょうか? [構成イメージ:DNSラウンドロビン利用時] □:公開するIP □ーwebサイト | □ーwebサイト [構成イメージ:ロードバランサー利用時] ■:公開するVIP □:ロードバランサー □ーwebサイト ■ー|x| □ーwebサイト
- ベストアンサー
- その他(ITシステム運用・管理)
- DMZの構築方法、DMZとLANの関係について
Bフレッツの固定IP8個割り当ての契約をしています。 ブロードバンドルータ(Allied Tlesis AR450S)を使い、DMZ環境を構築したいのですが、うまく行かず困っています。 目的は、全てのサーバをLAN上で運用している現状に対し、(1)WebサーバをDMZに配置し、インターネットからの問い合わせに対し、LAN内に配置した(2)DBサーバから結果を返すというものです。 また、LAN内には(3)FTPサーバを残し、これまで同様に外部からアクセスできるようにします。 (サーバをLAN内に置くのが良いかどうか、セキュリティ上正しい選択なのか分かりません・・・) (質問その1) DMZに配置するサーバは、グローバルIPアドレスを直接割り当てて運用するものだと思っていたのですが、配置するにはプライベートIPアドレスも必要なのでしょうか? (質問その2) DMZに配置したサーバとLAN内に配置されたPCとでは、通常のネットワーク接続(LAN上にあるPC同士がフォルダを共有するようなこと)が可能なのでしょうか?また可能であればどのような方法があるでしょうか? (質問その3) 廉価なブロードバンドルータが1台余っており、ルータを2台使って、中間層をDMZとする方法もあると聞きました。具体的にはどうすればよいのでしょうか? (質問その4) グローバルIPアドレスのうち、2つをDMZ用に、残りをLAN内のPCの外部アクセス用に、・・・などというような使い分けはできるのでしょうか? 上記AR450Sのマニュアルの設定例では全てのアドレスをDMZ化し、その1つを外に出るために共有する方法が載っていました。 なにぶん、独学でネットワークを勉強しているので、聞ける人が周りにいません・・・。 ネットワークに明るい方がいらっしゃいましたら、部分的にでも結構です。ご教授願います。 具体的な例を入れて頂けると助かります。 よろしくお願いします。
- 締切済み
- ネットワーク
- DMZのwebサーバがLANから閲覧できない
DMZにサーバをのせようとしていますが、 うまくいきません。 どなたかアドバイスをお願いいたします。 [現象] DMZにwebサーバをのせました。 外部からはテストページの表示ができるのですが、 社内LANからテストページの表示ができません。 [環境] サーバOS :centos5.2 /etc/sysconfig/network-scripting/ifcfg-eth0 には、 gatewayの設定はしていますせん。 (ネットワーク管理者に不要だといわれたため) サーバは、 ファイアウォール・VPN・リモートアクセスなど ゲートウェイ機能搭載の中小規模オフィス向けネットワークサーバーを経由して、 外部、LANそれぞれと通信します。 [確認した事項] 下記の内容を、サーバのファイアウォールをはずして検証してみました。 ネットワークサーバのログは見られません。 (1)外部からアクセスしたとき ・pingは通る ・webテストページの表示ができる ・ネットワークサーバーのログは正常に通信していると残っている。 (ヘルプデスクに確認) (2)社内LANからアクセスしたとき ・pingが通らない ・webテストページの表示ができない ・ネットワークサーバーのログによると、DMZのサーバへ要求は投げているが、 DMZのサーバからの戻りはない。 (ヘルプデスクに確認) サーバのログは以下のとおりです。 ・正常なやりとりのログ [root@iserver ~]# tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 21:31:46.754868 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 57592, seq 0, length 64 21:32:26.871001 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 57592, seq 0, length 64 21:31:46.870377 IP (問題のサーバのドメイン名).44291 > (LAN内のDNSのIP).domain: 41736+ PTR? (問題のサーバのIPを逆から表示したもの).in-addr.arpa. (45) 21:31:47.765841 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 48562, seq 1, length 64 21:31:47.765858 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 48562, seq 1, length 64 21:31:48.775690 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 52530, seq 2, length 64 21:31:48.775707 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 52530, seq 2, length 64 21:31:49.786146 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 15423, seq 3, length 64 21:31:49.786161 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 15423, seq 3, length 64 21:31:50.796110 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 15768, seq 4, length 64 21:31:50.796124 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 15768, seq 4, length 64 ・LANからの異常なやりとりのログ 21:35:04.456219 arp who-has (問題のサーバのIP) tell (社内のIPと思われるもの-2) 21:35:04.456241 arp reply (問題のサーバのIP) is-at (MACアドレス2)(oui Unknown) 21:35:04.456374 IP (問題のサーバのドメイン名).48609 > (LAN内のDNSのIP).domain: 42979+ PTR? (社内のIPと思われるもの-2を逆から表示したもの).in-addr.arpa. (45) 21:35:04.456493 IP (PINGを実行したLAN内マシンのIP) > (問題のサーバのIP): ICMP echo request, id 512, seq 513, length 40 21:35:04.456787 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:05.456851 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:06.456914 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:09.453100 arp who-has (LAN内のDNSのIP) tell (問題のサーバのドメイン名) 21:35:09.453151 IP (問題のサーバのドメイン名).45524 > (DNSのIP).domain: 42979+ PTR? (社内のIPと思われるもの-2を逆から表示したもの).in-addr.arpa. (45) 21:35:09.453401 arp reply (LAN内のDNSのIP) is-at (MACアドレス) (oui Unknown) 21:35:09.961830 IP (PINGを実行したLAN内マシンのIP) > (問題のサーバのIP): ICMP echo request, id 512, seq 769, length 40 21:35:09.965131 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:10.965194 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:11.965256 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)
- ベストアンサー
- Linux系OS
- RTX1200のDMZ側からネット接続するには
YAMAHAルータRTX1200で、 DMZに置いてあるWWWサーバーからインターネット接続とPOP3接続が出来ないので質問させて頂きます。 セキュリティを高めるため、DMZ側のWWWサーバーが外部のインターネットを閲覧できる必要性はないのですが、 利便性とダイナミックDNSを更新するために、WWWとPOP3接続を試みてます。 <現状> ※以下に現状のコンフィグを記します。 LAN1:社内LAN 接続OK LAN2:動的グローバルIP 接続OK LAN3:DMZ WWWサーバー 外部より接続(閲覧)OK <理由> WAN側が、動的グローバルIPですので、 ダイナミックDNSを利用してます。 http://www.mydns.jp/?MENU=040 WAN側のIPが変わった際に、POP3を定期的に走らせて IPを通知する仕組みになっているようなので、 DMZ側のWWWサーバーにメーラーを常駐させようと考えております。 LAN1側のクライアントPCに、上記のメーラー設定をすれば 解決しそうですが、DMZ側のWWWサーバーで実現しよと試みております。。 ip lan3 secure filter や ip pp secure filter に、 フィルターの追加や適応を試みてみましたが うまく行きませんでした。。 ご回答、 どうぞ宜しくお願い致します。 ---------------------------------------------------------------- ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.100.1/24 ip lan3 address 192.168.131.1/29 ip lan3 secure filter in 2000 ip lan3 secure filter out 3000 dynamic 100 101 200 pp select 1 description pp FLETS pp keepalive use off pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname 【ユーザーID】 【パスワード】 ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 ip pp intrusion detection in on ip pp nat descriptor 1 pp enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.100.0/24 * ip filter 1030 pass * 192.168.100.0/24 icmp ip filter 1031 pass * 192.168.131.2 tcpflag=0x0002/0x0fff * www ip filter 1032 pass * 192.168.131.3 tcpflag=0x0002/0x0fff * 21 ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp ip filter dynamic 200 192.168.100.0/24 * telnet ip filter dynamic 201 * 192.168.131.2 www ip filter dynamic 202 * 192.168.131.3 ftp nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.131.2 tcp www nat descriptor masquerade static 1 2 192.168.131.3 tcp 21 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.2-192.168.100.191/24 dns server 210.191.71.1 dns private address spoof on
- ベストアンサー
- インターネットビジネス
- DMZのLinuxマシンドメインについて
DMZのLinuxマシンとWindowsマシンのドメイン名の関連性について不明な点があります。 「なぜ、外部D<ZのLinux・Unixサーバのドメイン名と内部のドメイン名を一緒にする必要があるのかわからないのです。」 一般環境では ・DMZに、LinuxまたはUNIXサーバに、bindやapcheを導入したサーバ設置。(Apacheサーバ、DNSサーバと名前はします。) ・内部LANには、ADでドメインを構築し、PC端末をドメインで管理するのが一般的だと思っております。 このとき、 (1)内部LAN(WindowsのADで.tast.netドメイン)を構築しPC1を参加させる。⇒PC1.test.net (2)DMZのLinuxやUnixのサーバーのホストネームを、「サーバ名.test.net」として、bindやapacheをインストールして外部に公開する。 DMZ側のドメインと、Windows側のドメインを同じ名前にしておく必要があるのでしょうか? DMZ側は、当然外に公開しているので、指定(=取得)したドメインを設定する必要があると思うのですが、 極論ですが、内部のWindowsADドメイン名は、DMZと異なったドメイン(test.com以外のもの「aaa.net等」)でも実際は問題無いのでしょうか? (当然、わかりにくくなって管理しにくくなるとはおもうのですが) なぜ、DMZとLANの 両ドメインを同じものに設定するのでしょうか? ADと同じドメインに参加したクライアントは、「サーバー等から管理もでき」「ドメイン不参加端末には、ファイルサーバ等にアクセスさせない」といったことができると考えております。 ですが、dmzのlinux群は、ドメイン名だけ一致しており、別にWindowsADに参加しているわけでは ないので恩恵がないのでは?なぜ中のドメイン名は外と一致させているのか?と思っております。 今、私が考え付くドメインを一致させておかないと不便かと思うのが 内部から外部にメールを送る際に、postfix等で転送する異なるドメイン名(=異なったWindowsサーバドメイン名:aaa.net)の指定等がいるのかなと思っているのですが。 ・確認したい点 (1).なぜ、外と内のドメイン名を一緒にする必要があるのでしょうか? linuxがwindowsのADとかに参加しているというのであれば、納得はできるのですが。 DMZに設置しているLinux群のサーバが、ADドメインに参加しているという状況を見たことが無いのです。 (2).DMZのドメイン名(apache.test.net) と AD参加内部クライアント(PC1.test.net)は、 ただドメインの一致だけさせており、DMZのサーバは、内部クライアントとは異なりドメインには 参加していない。の考えであっていますでしょうか?(コンピューターの管理とうに、DMZマシン名はでない。) どうしても、ドメイン名がつくと、内部のADに参加し、ドメイン名がくっついた形になっているのか? と考えていますのです。(DMZ:Apacheサーバ ⇒apache.test.net) どなたか ご教授のほうよろしくお願いします。
- ベストアンサー
- Linux系OS
- Postfixのmynetworksのアドレス
教えてください。 以下のようなメール環境を構築しなければならないです。 http://postfix.robata.org/ouyou.html を参考にさせていただきました。 INTERNET ー ROUTER ー FW ー DMZ内 SMTP ー LAN 内 SMTP&POP FWでNATをします。 外部からのメールは、DMZのSMTP(postfix)で受信し、 LAN内のSMTP(postfix)に、ドメイン宛のメールを内部転送します。 内部から外部へのメールはLAN内のSMTP(postfix)からFWを通って直接外部ヘ送ります。 3点気になっていることがあります。 1点目は、DMZ内 SMTPのmynetworksには、DMZのネットワークアドレスだけ指定すればいいのでしょうか? NAT前のグローバルIPのネットワークアドレスは書かなくていいのでしょうか? 2点目は、LAN 内 SMTPに書くmynetworksには同じくLANのネットワークアドレスだけでいいでしょうか。 送信するLANのクライアントがSMTPとは違うセグメントにある場合(ルーティングされてくるセグメント)は、 その送信元のセグメントのアドレスも含めれば良いでしょうか? NAT環境で特に必ず設定しなければならないものがありましたら教えていただけないでしょうか。 よろしくお願いします。
- ベストアンサー
- Linux系OS
- 外部DNSサーバーの役割
初心者です。DMZに置いてある外部DNSサーバーの役割がいまいちぴんときません。内部のDNSサーバーでしたら何百とあるIPアドレスとコンピュータ名を変換する為に必要だと思うのですが、外部DNSサーバーはWebサーバーただ一つのIPアドレスを教えるためだけに存在するのでしょうか?もしそうならそのためだけにサーバーを立てるのは非効率だとおもうのですが・・・ どなたかわかる方がいらっしゃいましたら、宜しくお願い致します。
- ベストアンサー
- ハードウェア・サーバー
- ルータのグローバルIPアドレスを知る方法
色々試しましたが、どうも利用的な方法が見つからず、質問させていただきます。 ルータに接続したLAN側PCからルータのWAN側IPアドレスを調べる方法を探しています。 少し特殊な状況で、 PCはVPN接続を目的としており、httpやftpでのインターネット接続ができません。また、管理上の問題でルータの設定画面にはLAN側PCのユーザーからはパスワードでアクセスできないようにしています。 目的は、ダイナミックDNSなしで、インターネット側からルータにアクセスするためにLAN側PCのユーザーにIPアドレスを調べてもらうことです。 <試した事> ・確認君などの外部から調べる方法は、httpが使えないため無理でした ・vectorでフリーソフトを試しましたが、httpが使えないとやはり無理でした。 ・ルータのsyslogをLAN側PCで受信するようにしたが、IPアドレスを知りたいときにわからない。 ルータはBAFFALOのBBR-4HGです。 よろしくお願いいたします。
- ベストアンサー
- その他(インターネット接続・通信)
- IPアドレス1個でweb公開
社内でKDDIのイーサエコノミーのハイパーファミリー(固定IPアドレス1個)という回線を契約しようとしています。 やりたいことは社内にグループウェアをインストールしたwebサーバを立て、利用したいと考えています(外部からと同一LAN内から)。 ところが前述のプランの注意書きに「IPアドレスを1個のみ割当てるメニューにつきましては、当社より割り当てさせていただくIPアドレスにてDNSサーバを設置することはできませんのでご注意ください」とあり、ドメイン名でのアクセスができないようです。 使いたいのはグループウェアのみで、限られた社員しか利用しないので、ブラウザにIPアドレスを直接指定してアクセスするという方法でもいいのですが、これは可能でしょうか? 気になっているのは、付与される固定IPアドレスはルータの外側に付くと思うので、外部からそのIPアドレスを指定してもルータ止まりになってしまうような気がします。プライベートIPアドレスを付与したwebサーバに導くような設定をする必要があるのでしょうか? OS:RedHat web:apache グループウェア:サイボウズ
- ベストアンサー
- ネットワーク
- 外部インターネットからDNSサーバが認識されません。
OCNエコノミーの回線を使って、 SUN/Solaris(2.6)で、DNSサーバを構築しています。 ファイアーウォールの設定で、外部からDMZのDNSサーバへの dnsポートを許可しており、また当然のことながら、その逆も許可しております。 内部LANから、外部への接続はできるようになっていますが、 外部から、DNSサーバへのアクセスができないようになってます。 どなたか、対処方法、あるいは、考えられる原因などご存知でしたら、 ご教示願えませんでしょうか? よろしくお願いいたします。m(._.)m
- ベストアンサー
- その他(インターネット接続・通信)
補足
有り難う御座います。 良く分かりました。