内部ネットワークでのマスカレードやプロキシの利用とは?

前へ 次へ
このQ&Aのポイント
  • 内部のLAN間でのマスカレードやプロキシの利用についてご教示いただけますか?
  • マスカレードとは、フィルタリングやNATなどを使ってAのセグメントのIP情報をBのセグメントに変換する技術です。しかし、セキュリティの面でどのような利点があるのか、分かりません。
  • また、プロキシやリバースプロキシも似たような効果を持っていると聞きますが、ブラウザでの利用にどのようなメリットがあるのでしょうか?
回答を見る
  • ベストアンサー

内部ネットワークでのマスカレードやプロキシの利用

教えてください。 外部のインターネットとの接続でなく、 内部のLAN間(セグメントが異なるAというLANとBというLAN)で以下のようなものをルータで設定する場合に、どのようなことが実現できるか、又違いを教えていただけますでしょうか? 1.マスカレード   マスカレードを使うとフィルタリングと同じことができるか?   又NATやIPマスカレードや静的マスカレード等があり、違いがいまいち分かりません。   それぞれAのセグメントのIP情報が変換されてBのセグメントに入るので、セキュリティ上良い? 2.上に関連して、プロキシやリバースプロキシというものを使うと   ブラウザで同じような効果がある? よろしくお願いします。   

質問者が選んだベストアンサー

  • ベストアンサー
  • anmochi
  • ベストアンサー率65% (1332/2045)
回答No.1

まずは用語をきっちり押さえておこう。 ●NAT(Network Address Transfer)  ルータで送り先IPアドレスや送り元IPアドレスを変更するためのものだ。送り先IPアドレスの変更はDNAT(Destination NAT)、送り元IPアドレスの変更はSNAT(Source NAT)とも言う。 ●NAPT(Network Address Port Transfer)  ルータで送り元IPアドレスと送り元ポートのペアを変更するためのものだ。IPマスカレードというとこちらを指す。静的マスカレードという場合は送り先IPアドレスと送り元ポートを変更する。 ●リバースプロキシ  不特定多数のクライアントからの接続を受け付けて特定のWebサーバーに対してプロキシ動作をおこなうもの。普通の「プロキシ」はこれに対してフォワードプロキシと言い、特定のクライアントからのリクエストを受けて不特定多数のWebサーバーに変わりにリクエストに行くプロキシサーバーの事。 ~~~~ セグメントAとセグメントBの間にルータを置いてLAN間接続を行う時に、どちらにどのようなセキュリティ策を施工したいかによって変わる。上記の1~3に加えて、パケットフィルターという機能でA-B間の通信制御を行う事もよく行われる。 共通事項:Aのセグメント192.168.1.0/24でBのセグメントは192.168.2.0/24。A-B間ルーターのIPアドレスはA側が192.168.1.100でB側が192.168.2.100 例1:AからB側のサーバーb(192.168.2.200)にアクセスさせたいが、サーバーbはB内からのアクセスしか許可しない。 ↓ ルーターでA→BのパケットにIPマスカレードをかける。A内のパソコンa(192.168.1.50)からbにアクセスすると、aのIPアドレスがルーターで変換されてbから見るとルーターとやりとりしているように見える。この時、aから見ると192.168.1.50-192.168.2.200での通信に見え、bから見ると192.168.2.200-192.168.2.100での通信に見える。 例2:Aはインターネットに繋がっている(ゲートウェイ192.168.1.254)。Bからはルーターを介してインターネットに接続したいが、BからAの端末には一切アクセスさせたくない。AからBの端末も同じ。 ↓ ルーターではNATやNAPTは行わず、フィルタリングのみ行う。192.168.2.0/24から192.168.1.0/24宛のパケットは遮断する。192.168.1.0/24から192.168.2.0/24宛のパケットも遮断する。 ~~~~ リバースプロキシの話はプロキシとは何かを学んでから改めて調べていただきたい。ここでは、プロキシとルーターの違いについて説明する。 プロキシとルーターはともに2つ以上のネットワークを相互接続するための技術だが、プロキシはHTTPレベルで中継を行い、ルーターはデータリンクレベルで中継を行うものだ。具体的な例を、Aのパソコンa、ルーターまたはプロキシ、BのWebサーバーb間の通信で示す。IPアドレスは上例の通り。 プロキシ: a 192.168.1.50 | 192.168.1.100 プロキシ 192.168.2.100 | 192.168.2.200 b ルーター: a 192.168.1.50 | 192.168.1.100 ルーター 192.168.2.100 | 192.168.2.200 b さて、上の図では何も変わらないように見えるが、実際に何が違うかと言うとそれぞれの話し相手が違う。 プロキシの場合、aはルーターに対して「僕の変わりにbにHTTPアクセスしてその結果を返してくれよ」と言っている。bから見てもHTTPクライアントはaではなくルーターだ。a-ルーター間とルーター-b間の2つのTCP接続が起こる。 ルーターの場合は、aは直接bに対してHTTPアクセスする。bから見てもHTTPクライアントはaだ。a-b間のTCP接続をルーターは中継するのみとなる。 これらを押さえた上で、ルーターの場合でもSNATを噛ます事でbから見るとルーターとHTTP通信しているように見えるだとか、DNATを噛ます事でaから見るとルーターとHTTP通信しているように見えるだとか、パケットを中継するときにごにょごにょするという事を行えるようになる訳だ。 ~~~~ 色々書いたけど、すぐ全部を理解する必要はないので一歩一歩用語を覚えていくと良いでしょう。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. その他(ITシステム運用・管理)

関連するQ&A

  • IPマスカレードとプロキシの併用

    IPマスカレードとプロキシは併用できるのでしょうか? 今、172.198.1.10のIPアドレスを持ったパソコンが、IPマスカレードにより、10.20.30.40(+ポート番号)に変換されるとして、その172.198.1.10のパソコンから、ブラウザでhttp接続するときに、プロキシサーバーに接続しにいきます。 もしプロキシ(delegateなど)で、プロキシ⇔クライアント間のポートを指定(例えば、-P8081)していた場合、IPマスカレードで付いたポートが必ずしも8081ではないので、通信できないような気がしています。 NATであれば、プロキシと併用することはできるのでしょうか?IPマスカレードとプロキシは併用できないのでしょうか。 どなたかご教授いただければと思います。

  • NATなどについての質問

    プロキシは内部ネットワークに接続されているクライアントから外部のサーバに接続するときに代理で接続を行いますがNATやIPマスカレードのようにひとつのグローバルアドレスが割り当てられているのでしょうか?もしそうだとしたら(IPマスカレードは複数マシンから同時に接続はでき、NATはできませんが)NATやIPマスカレード、プロキシはお互いに機能は同じものなんじゃ????でも, プロキシは外部からクライアントへアクセスできない利点があるのかな?(プロキシは明示的に設定する必要がありますが) 詳細お願いします。。。。 勉強不足ですみません><

  • YAMAHAルータRT58iでのIPマスカレード設定

    YAMAHAルータを初めて設定します. 色々とご教授いただければ幸いです. ネットワーク構成は次のようになっております  +(1)172.17.64.0/24  | 172.17.64.128[lan2] (2)RT58i 192.168.0.254[lan1]  |  +(3)192.168.0.0/24   +--(サーバA)192.168.0.1   +--(サーバB)192.168.0.2 更に172.17.64.128は外部のネットワークへ静的NATが設定されており,こちらは当方の管轄外となっております. 現在,192.168.0.0/24のネットワーク内に2つのWeb/SSHサーバが存在しております. これを外部から,接続したいと考えております. その際,ポート番号によってサーバを制御したいのですが,この方法がわかりません. 具体的には,サーバAに接続するにはWeb(172.17.64.128:8001<->192.168.0.1:80),SSH(172.17.64.128:2201<->192.168.0.1:22), サーバBに接続するにはWeb(172.17.64.128:8002<->192.168.0.2:80),SSH(172.17.64.128:2202<->192.168.0.2:22) としたいのです. 以下,設定した内容です. --- ip route default gateway 172.17.64.254 ip lan1 address 192.168.0.254/24 ip lan2 address 172.17.64.128/24 nat descriptor type 1 nat-masquerade nat descriptor masquerade static 1 1 192.168.0.1 tcp 2201=22 nat descriptor masquerade static 1 2 192.168.0.1 tcp 8001=80 nat descriptor masquerade static 1 3 192.168.0.2 tcp 2202=22 nat descriptor masquerade static 1 4 192.168.0.2 tcp 8002=80 ip lan2 nat descriptor 1 ip lan2 nat descriptor 1 nat descriptor type 2 nat-masquerade nat descriptor address outer 2 172.17.64.128 nat descriptor address inner 2 192.168.0.1-192.168.0.191 ip lan2 nat descriptor 2 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.128-192.168.0.191/24 dns service recursive dns notice order dhcp server dns server 172.17.0.1 dns private name example.com no analog supplementary-service pseudo call-waiting no analog extension dial prefix line no analog extension dial prefix sip prefix="9#" --- DHCPは確認のために設定し,内部から外部へ接続が可能であることを確認しました. また,サーバから外部のアップデートファイルを取得できたので,内部から外部へは全く問題はないものと考えております. 現在はフィルタなどを一切設定しておりません. 当方の理解では,フィルタを設定しなければ完全にパスするのではないかと思い, やはりマスカレードの設定がうまくいっていないのではないかと悩んでいます. 言葉足らずで申し訳ございませんが,何とぞよろしくお願いいたします.

  • NAT・DHCP・IPマスカレードの違いを教えてください!!

    現在LANネットワークの勉強をしているのですが、NAT・DHCP・IPマスカレードの明確な違いがあまり理解できません。テキストを見てもピンときません。 うまくおしえてください。お願いします。

  • 動的NATとIPマスカレードの違い

    動的NATもIPマスカレードも同時に複数台のパソコンをインターネットに接続できる技術ですが、 いったい両者はどこが違うのでしょうか? IPマスカレードはポート番号によって内部ネットワークのパソコンを特定するとサイトに掲載されていましたが、動的NATの場合はどうなのでしょうか?

  • 透過型プロキシサーバーの設定

    LAN内で透過型のプロキシを立てたいのですが、OSはRedHut7.3でSquidを使用しiptablesを使用したいのです。NIC2枚刺しでポートのフィルタリングも同時に行う必要が有ります。その際の設定がいまいち良く解からないのです(参考URLが無い)設定内容はある一定の範囲のIPはhttpプロキシで制御しポートのフィルタリングもし他の範囲のIPはhttpプロキシもポートフィルタリングもスルーさせたいと思っています。NATは行いません。 ご教授頂けないでしょうか?宜しくお願い致します。

  • ウェブ以外にもリバースプロキシを使いたい

    現在VMWarePlayer上のゲストOSで色々なサーバソフトを動かしており、 それに外部(ホストOSが所属するLAN内)のPCからアクセスしたいと考えています。 一般的には、VMWareの仮想マシンのネットワーク設定で「ブリッジ」を選択すればOKですが、 現在LAN内のIPアドレスの払い出しの制限により、それが使えません。 このため、やむを得ずNAT設定を選択しています。 仮にゲストOS上で動いているサーバがウェブサーバであれば、 ホストOS上にApacheなどでリバースプロキシを構築するだけで済みます。 しかし、実際には実験目的で色々なサーバを置いたりしているため、 Apacheリバースプロキシでは対応できません。 そこで、ホストOSの特定のポートへの接続を、別のマシン(ゲストOS)の 特定のポートに繋げる、リバースプロキシを汎用化したようなソフトは無いでしょうか。 ※Web用のリバースプロキシとは当然仕組みは異なるでしょうが ご存知の方いましたら、お願い致します。

  • 静的NATと静的IPマスカレードの違い

    静的NATと静的IPマスカレードで使用するIPアドレスが分りません。 プライベートアドレスとグローバルアドレスのIPアドレス1対1の変換をする 「静的NAT」方式だと、使用するIPアドレスは、インターフェースで使用するアドレス以外の アドレス空間(?)を使用するかと思うのですが、 「IPマスカレード」方式の場合はグローバルアドレスはインターフェースアドレスを使用するのでしょうか? しかも分からないのが、以下のサイトで LAN側の端末が外へNATして出ていく為に、DMZ側(グローバルアドレスが使われている)側のインターフェースアドレス となっています。 益々よく分からないのですが、どなたか違いを教えて頂けないでしょうか。 よろしくお願いします。 http://jp.yamaha.com/products/network/solution/multiple/

  • NATとIPマスカレードの違い

    表題の違いは下記の認識で間違っていないでしょうか? NATは単純にIPアドレスの変換を行う。 IPマスカレードはポートごとに変換するIPアドレスを制御することができる

  • iptablesによるIPマスカレードの設定について

    現在fedoracore5でIPマスカレードを行いたいと設定を行っております。 解説の書籍を読んでいるのですが、内部から外部、外部から内部の設定を行わないといけないと書いてあるのですが、インターフェースのカードが2つ存在しないと設定する事はできないのでしょうか? また、IPマスカレードはインターネット(例えばyahooなど)につなぐときに必要という解釈でよいでしょうか?この設定がなければインターネットへの接続は無理という認識でおります。 すみませんが、アドバイスお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する