• 締切済み

公開サーバがある場合のルータのACLについて

グローバルアドレスを持つDMZにある公開Webサーバ(http,https)へ外からアクセスする場合、ルータの(ACL)フィルタリング設定は以下でよろしいでしょうか? また、内から外への通信は特に必要ないので全てブロックしても問題ないでしょうか?固定グローバル契約をしているのでDNS等他に通す必要があるんでしょうか? ◆外⇒内 1.ルータのWAN側で、httpとhttpsをのみinで通す。 2.ルータのWAN側で、inで全てブロック。 ◆内⇒外 1.ルータのWAN側で、outで全てブロック。

回答 全件
ACLが機能する機器(ここで言えばルータ)の仕様次第です。 ステートフ…

みんなの回答

  • juzumaru
  • ベストアンサー率84% (33/39)
回答No.1

ACLが機能する機器(ここで言えばルータ)の仕様次第です。 ステートフルタイプでないと、上記のようなACLでは通信出来ません。 当然ですが、"行って帰って"で通信するので、outをすべてブロックすると帰りが 通信出来ません。 ステートフルタイプであれば、inで入ってきた通信の帰りのoutだけ自動的に 通してくれます。 DNSはwebサーバで逆引き等、引こうとしないのであれば、無理に通す必要は有りません。

全文を見る
すると、全ての回答が全文表示されます。
  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • ACL自動更新について

    日本国内限定のACLを設定し、そのACLの更新を自動化するためにはどうしたらよいのでしょうか?(コマンドとして知りたいです)よろしくお願いします。 参考までに構成としてはcisco1812Jを使用し、WAN側f0 DMZ側f1 ローカル側vlan1とし、仮想インターフェースとしてunnumberedの設定もしています。(共有インターフェースF1)その他の設定としてPPPoE、NAToverloadを設定してます。

  • 異なったパブリックIPでWEBサーバーを公開したい

    現在は、SSG320でこの構成で動いておりますのでできるとは思われますが、UTMの差し替えがあり、Sonicwall Pro 3060で再構築しているところです。 要件としては、DMZ内にWAN側と異なったセグメントのグローバルネットワークでWEBサーバーを公開する方法を探してます。 設定例 WAN GW グローバルIP 10.10.10.247/29 DMZ  ローカルIP 192.168.1.0/24 DMZ  グローバルIP 61.205.227.135/26 DMZローカルとDMZグローバルをNATして61.205.227.135/26のセグメントを使用して、WEBサーバーを公開しようと考えてます。 出来る・できないはちょっと不明ですが、イメージとしては、以下をできる機能を探してます。( NATの二重みたいな感じですが・・・) WAN IP  → DMZ グローバルIP → DMZLocalIP  こんな機能とかってなんかありますかね? 設定する機能名の当たりでも教えてもらえれば後は頑張れそうです。

  • DMZでサーバ公開

    調べど、ほぼ意味不明なので質問させて下さい。 DMZでサーバを利用したいと考えています。 それはWindowsServer+.NETFramework+IIS+SQLServerと言った環境のものです。 それを公開する時、必要になる作業はどういったものなのでしょうか? この辺りに関してはかなり無知で、何をどうしたら良いのか検討もつきません。  ・ルータ側でDMZの設定が必要?  ・サーバ側でDMZの設定が必要?  ・ファイアウォールはどこに置くのか?  ・ウィルス対策ソフトはどこに置くのか?  ・LAN内PCとの関係を切り離すのに何が必要か? 他にも考える必要のある環境構築設定などもあると思います。 詳細を教えて下さいとは言いません。 それを構築する上で参考になった資料、参考書等を教えていただけませんでしょうか?

  • サーバーを以下のように公開しようとおもうのですが・・・

    サーバーを以下のように公開しようと思うのですが・・・ ルーター内にサーバーがあるため、 何かサーバーでサービスを提供使用とした場合、 ルーターでポートを開放しないといけないので、 その作業がめんどくさいので、 DMZアドレスをサーバーに設定してそとから丸見えの状態に しております。 さすがにこれはやばいので、ファイアーウォールソフトを用いて、 ポートを遮断して、必要なポートだけを制限かけていないのですが。 これはセキュリティにどうなんでしょうか?

  • SonicWALL DMZではまっています。

    SonicWALL DMZについて質問します。 LAN,DMZ,WANにそれぞれ、端末・ルータを接続しました。 DMZ側からWANにpingは通ります。また、WAN側からDMZにpingが通ります。 ですが、LANに接続されたローカルアドレスの端末からDMZ側にあるDNSサーバやWWWサーバに接続しようとしても、接続できない旨のメッセージが表示されます。 なお、設定は、ほとんどしていません。(とはいいましても、マニュアル通りのことはしてあります。) また、ファームウェアは4.1.1を使用しています。 どのようにすればLANからDMZもしくはWANに出られるのでしょうか。

  • CiscoルーターACL

    A・・・192.168.11.0/24セグメント B・・・172.16.12.0/24セグメント 以下要件を満たしたいのですが、上手くいきません [要件] 1.192.168.11.49が、デフォルトゲートウェイであり、80番通信以外は許可したい。(管理画面が見えるため) 2.172.16.12.0から、192.168.11.0セグメントへの通信は、拒否したい(icmpはOK) 3.192.168.11.11から172.16.12.0端末への通信は全て許可する。(RDPとか、ファイルコピーしたいため) [作成したACL] access-list 100 deny tcp 172.16.12.0 0.0.0.255 host 192.168.11.49 eq 80 access-list 100 permit ip 172.16.12.0 0.0.0.255 host 192.168.11.49 access-list 100 deny ip 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 access-list 100 permit ip any any ip access-group 100 in [概略図] 192.168.11.0/24セグメント-------(fa0/0)ルーター(fa0/1)-------172.16.12.0/24セグメント fa0/1のinバウンドにACLを設定。 [質問] 2のicmpも現在通らないのですが、これはicmp許可すれば通るとおもうので問題ではないのですが、 3の条件が満たせません。 →私自身、192.から172にRDP通信を行ったとき、fa0/0にはACLを設定しておらず、192からのRDPがとおるので、172からの応答はinバウンドのACLに引っかからないと思っていたのですが、 access-list 100 deny ip 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 に 引っかかって通信が成功しません。 どなたか解決方法をご存知の方がいらっしゃいましたら ご教授のほう宜しくお願いします。

  • ルータのセッション数について

    プロバイダから送られてくるレンタルルータのセッション数が貧弱なのですが IP取得に認証が絡んでいるらしく、他社のルータに置き換えることが物理的にできません。 どうしたものかと頭を捻っているうちにDMZ機能を思いつきました。  「WANからの通信をフィルタリングなしで特定のLANポートへ流す」 という機能としてよく説明されているあれです。 仮にレンタルルータ(セッション数300)、他社ルータ(セッション数500)とし   WAN―レンタルルータ―他社ルータ―PC のような接続でレンタルルータからDMZ先に他社ルータを設定した場合に WAN―PC間で行える最大セッション数はどうなるのでしょうか。 ・二行でまとめるとこうなります。 要はLANカードやHUBのように素通りさせてほしいのですが DMZを行うルータ自身のセッション数は消費されますか?

  • LAN上のマシンからインターネットへの接続と公開する方法について

    下記構成でLAN側の★Serverから 1.インターネットに接続 2.インターネットに公開 したいのですが、KDDIメタルプラスはモデム(ルータのWAN側)の時点でプライベートIPになってしまうので両方を実現するにはハブが必要そうですが 実現できた方いらっしゃいますでしょうか? 又、モデムのWAN側がグローバルIPのプロバイダを探していますが、TEPCOはどうでしょうか? +------+ |モデム| +------+ WAN +--------------+ |ルータ & DNS | +--------------+ LAN | +----+--+--------+ |PC | |★Server| +----+ +--------+

  • 自宅サーバーがうまく公開できない

    自宅サーバーが公開できません機種はPR-S300NとWHR-G300Nをルーターモードで使用しています PR-S300NでLan側のwebサーバーを公開にして簡易DMZも設定して WHR-G300Nではポート変換とDMZの設定もしています プライベートアドレスも固定して、固定したアドレスを設定しています 接続には無線LANで接続しています OSはXP Home です 回答お願いします!

  • ルータで閉めたほうがいいポートは?

    アウトバウンドの通信でルータの設定で閉めたほうがいいポートが知りたいのです。 LAN→WANはどのポートを閉じればいいのでしょうか? ルータを使っておられる方達はどのような設定をしているのですか? 私のルータはあいにく16個しかフィルタリングできません。LAN→WANで16個のポートを閉じるなら、セキュリティの観点からどのポートを閉じたほうがいいのかご意見お聞かせください。よろしくお願い致します。

パソコンを買い替えデータの移行
このQ&Aのポイント
  • ウィンドウズ10から11の買い替えですが、データの移行はできますか?
  • 前のパソコンからコピーしたデータは、ダウンロードしたダウンロードソフトの真下に貼り付けるとマニュアルにはありますが、プログラムファイルへのダウンロードでは真下に張り付けられません。手順などご教授ください。
回答を見る

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する