• ベストアンサー

スタティックルート?

Firewallなどのルーター上の別インターフェースにそれぞれ同一セグメントを割り当てたとき(下図のように)、LANセグメント-DMZセグメント間のパケット通信は問題なく可能でしょうか?(スタティックルートを使用?) このような設定はよくあるものなのか、それともirregularであまりお勧めできないでしょうか? |WAN-INT |(GB:A.B.C.D/29) [[[[ファイアーウォール]]]] |DMZ-INT |LAN-INT |(PV:E.F.G.0/24) |(PV:E.F.G.0/24) | | [SVR] | (PV:E.F.G.200/24) [CLIENT PCs] (PV:E.F.G.xx/24)

質問者が選んだベストアンサー

  • ベストアンサー
  • kuma-ku
  • ベストアンサー率54% (1558/2845)
回答No.2

こんばんは LAN/DMZ の設定については、Firewall やRouter の設定で、 I/F への同一セグメントの設定が可能な場合は少なく、 LAN とDMZ のネットワークを分けるのが普通です。 そうしなければ、”DMZ”の持つ意味がありません。 ”DMZ”は、本来Internet などの公共セグメントからの通信を受け入れ、 LAN セグメントに流入させる事なく、 セキュリティ面とトラフィックの管理面を担う 専用のセグメントとして用意されるモノです。 そのため、今回ご質問されているような構成は、 機器の設定上でも難しいことに加え、 セキュリティや管理面から見てもイレギュラーと言える構成です。 私から提案するなら、「I/F の設定例としては LAN I/F:192.168.1.254/24 DMZ I/F:192.168.100.254/24 とし、 WAN I/F からStatic-NAT でServer に紐付けを行う」 と言うことです。 LAN/DMZ 間の通信は、Firewall であれば通信ルールを作り、 Router であればとくに設定しなくてもIP での通信は可能です。 ※URL などName を使った通信は、  hosts File をLAN 内のPC にインストールするか、  LAN 内にDNS が必要です。

その他の回答 (2)

  • suzui
  • ベストアンサー率67% (199/297)
回答No.3

ファイアウォール製品によりますが、製品がサポートしていれば構成的には問題ないです。いわゆる転送デバイスとしてはスイッチングハブのように動作し、ファイアウォールとしては上位層までチェックするという動きをします。 製品がサポートしていれば別にイレギュラーではありません。 DMZを使った3セグメント構成で使うケースは少ないでしょうか。外側と内側の2セグメント構成で、ファイアウォールの存在自体を隠したい場合には使われることがあります。 よくある構成かと言われると、どちらかといえばマイナーだと答えておきたいと思います。 ルータのようなアドレッシングしか許さないファイアウォール製品では、当然イレギュラーです。

  • Toshi0230
  • ベストアンサー率51% (836/1635)
回答No.1

ダメです。 Firewallやルータの各インタフェースには、別のセグメント(サブネット)を割り当てるようにしてください。 同じサブネットを割り当てた場合は、通信が正常に行われません。 質問のネットワーク図ならば、DMZと内部LANのネットマスクを25bit等に変更して、別ネットワークとするか、DMZまたは内部LANのIPの片方を全く別のネットワーク(E.F.H.0/24など)に変更してください。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • ルートの追加について

    教えてください。 図が分かりにく申し訳ありません。 プロキシサーバがあるLANネットワークにはファイアーウォールへのネットワークと パソコンへのネットワーク(VPNネットワークを挟んで)の2つがあります。 現在プロキシサーバのデフォルトゲートウェイは、 ファイアーウォールになっています。 ファイアーウォールにはPCのセグメントへのスタティックルートが書かれています。 プロキシサーバにはデフォルトゲートウェイがあれば、 ファイアーウォール経由でパソコンへ通信できますでしょうか? それとも、プロキシサーバにはパソコンのネットワークセグメントへのルートを 書いた方がいいのでしょうか? サーバ DMZ⇔ファイアーウォール⇔LANスイッチ⇔プロキシサーバ                                ⇔VPN router <------>VPN router パソコン よろしくお願いします。  

  • Redhat7.3でDMZ構築

    Redhat7.3を使用して、以下のようにNIC3枚でDMZを構築しようとしています。 WAN  | Linux -WWW(DMZ)  | LAN 仮に以下のようにIPを設定します。 ・WAN側ネットワーク 172.31.0.0/24 ・eth0(LAN) 192.168.1.1 ・eth1(WAN) 172.31.1.10 ・eth2(DMZ) 172.31.1.11 ・WWW(DMZ内に設置) 172.31.1.12 このとき、以下のような状態になってしまいます。 ・WAN側からWWWにアクセスできない。(pingが通らない) ・WAN側からeth1,eth2へはpingが通る。 ・LinuxからWWWへはpingが通る。 WAN側からWWWにアクセスできるようにするには、どのような設定をすべきでしょうか? 上記の構成以外にも、DMZ側とWAN側が同一セグメントになるような設定があれば、そちらも検討したいので、ご教授願います。

  • メールサーバが外部から利用出来ない

    sendmailサーバを設定し、dnsも浸透したのですが、 WANからLAN内のメールサーバを見つけることが出来ない ようです。 ルータ(バッファローWHR2-A54G54)からサーバへは アドレス変換で25,53,80,110ポートをサーバへ転送する 設定にしています。 このルータ設定で既にwebサーバは公開しているのですが メールサーバを外部から利用できません。 ファイアウォールは設定のため停止しています。 LAN内でdnsを立てないと外部からsvr.○○.jpにはアクセ ス出来ないのでしょうか。 確認が必要な事項をアドバイス頂けばと思います。 よろしくお願いします。 サーバredhat9 /etc/hosts 127.0.0.1 localhost.localdomain localhost 192.168.1.2 svr.○○.jp svr /etc/sysconfig/network NETWORKING=yes HOSTNAME=svr GATEWAY=192.168.1.1 【簡単な機器構成】 WAN | ルータ(192.168.1.1) |_________________________________ web・mailサーバ PC1 PC2 PC3 (redhat9) 192.168.1.2   192.168.1.3~5

  • ファイアウォール・・・

    教えてください。 ルータのWAN側はISPよりグローバルアドレスを動的に取得します。LAN側には、たとえば192.168.10.1のプライベートアドレスを振ります。またルータでNATを有効にします。 ルータの下部にファイアウォールを置き、WAN側に192.168.10.2をLAN側には192.168.200.1を振り、セグメントを分け、ファイアウォールでもNATを有効にします。 このような場合、192.168.200.0のネットワーク内のPCのデフォルトゲートウェイは192.168.200.1でよいのでしょうか。 また、このような構成で外部(インターネット側)との通信は出来るでしょうか。ファイアウォールは、外部との通信を許可してます。

  • ファイアウォールにおけるネットワーク分割

    ・ISPからの割り当て IPアドレス:202.xxx.xxx.96~111 ネットマスク:255.255.255.240(28ビット) 各ゾーンのアドレス ・WAN側:202.xxx.xxx.96/28(グローバル) 97~102をホストで利用可能 96はネットワークアドレス、103はブロードキャストアドレス ・DMZ側:202.xxx.xxx.104/29(グローバル) 105~110をホストで利用可能 104はネットワークアドレス、111はブロードキャストアドレス ・LAN側:192.168.1.0/24(プライベート) (1)ルータのNIC(ファイアウォールに対向する側)とファイアウォールのWAN側NICは、ISPから指定されたIPアドレスとネットマスクをそのまま使用 (2)DMZのネットワークアドレスは、WAN側よりマスクが1ビット長いものを設定。→割り当てられたネットワークの後半部分をサブネットとして切り出すため。 (3)ファイアウォールには、WAN側(96~103)宛てとDMZ側(104~111)宛てのパケットについて、それぞれルーティング設定をしておく。 (4)ルータには、202.xxx.xxx.96~111宛てのパケットについて、ファイアウォールのWAN側NICをゲートウェイとして転送するルーティング設定をしておく。 (4)は、ルータとDMZ側が同一ネットワークアドレスに属する(アドレスが同一とはどういうことか?)にもかかわらず、実際には同一ネットワークに存在しないために必要。この設定がないと、ルータは202.xxx.xxx.96~111宛てのパケットを直接転送する(直接とはどういう意味か?)ために、ARPによって転送先のMACアドレスを得ようとするが、これはDMZ側アドレスに関しては失敗する(なぜ失敗するのか?)ため、通信不能になる。 ()の疑問について教えていただけると助かります。

  • ネットワーク設定がわかりません・・・

    ネットワーク初心者です。勉強のためDDNSで固定IPを持たず自宅WEBサーバを立てています。 固定IPを持っていないので、下図【現在の構成】のように、インターネットからWEBサーバへのアクセスは、DDNSとルータのポートフォワーディング機能で、プライベートアドレスのWEBサーバに転送されるようにしています。 そしてこの度、興味からファイアウォール(Fortigate60)を購入し、下図【将来の構成】のような構成にしたいと思っています。 固定IPを取得すれば簡単だと思いますが、でもこのまま固定IPは取得せず今まで通りDDNSで運用してみたいのです。 そのような場合、ルータ、ファイアウォール、及びPCやWEBサーバにはどのようなネットワーク設定をしてやればよいのでしょうか? ルータにもファイアウォールにもポートフォワーディング・ルーティング機能があり、どのようにIPアドレス、ゲートウェイアドレス、ポート転送、静的ルーティング等の設定してやればよいのか、複雑でよくわからなく困っています。 【現在の構成】 Internet-[ADSLモデム付ルータ]-[HUB]-[PC]                  |              [WEBサーバ] ・ルータ(AtermDR202)のLAN側は192.168.0.1です。 ・LAN側の機器には全て192.168.0.Xを割り当てています。 ・PC、WEBサーバ用PCのデフォルトゲートウェイ設定は192.168.0.1です。 ・ルータはPPPoEブリッジの機能有 【将来の構成】 Internet-[ADSLモデム付ルータ]-[F/W]-LAN側:PC                 |               DMZ側:WEBサーバ ・ファイアウォールは LAN側ポート×4、WAN側ポート×2、DMZポート×1 を備えています。 ファイアウォールを設置する意味など、ツッコミどころはあるかもしれませんが、どうぞよろしくお願いします。               

  • LANから変なパケットが出てます?

    ファイアウォール(Sonic Wall)からLAN内と別セグメントのIPアドレスがWANに出ようとしてファイアウォールからアラームが出ています。  ○LANのIP:192.168.x.x/24  ○FWで検出IP:送信元IP=10.222.X.X(Port=1701) , 宛先IP=10.223.x.x  (Port=1701) ウィルスなのでしょうか? 教えて下さい  

  • DMZのPHPからLAN内のMySQLへの接続が遅いのですが・・・

    初めて質問させていただきます。 現在、公開サーバ(DMZ)のPHPから、DBサーバ(LAN)のMySQLへ、接続を試みています。 mysql_connect()により接続はできるのですが、どうにも時間がかかって困っています(5秒くらい)。 (公開サーバにMySQLをインストールして接続すると、ほぼ待ち時間なく接続されます) 環境、設定は以下の通りです。 (公開サーバ)DMZに接続 Windows 2003 Server プライベート:192.168.0.1 (DBサーバ)LANに接続 Windows 2003 Server プライベートIP:192.168.1.1 (ルータ/ファイアウォール)SonicWALLを使用 DMZ(192.168.0.1)からLAN(192.168.1.1)へアクセス[Any]を許可 WANからDMZ(192.168.0.1)へのアクセス[HTTP]を許可 (PHPのソース) mysql_connect('192.168.1.1', $dbuser, $dbpwd); <<質問>> (1) PHPから、同サーバのMySQLに接続する場合と、別サーバに接続する場合とでは、このレスポンスの差は仕方がないものなのでしょうか? (2) 接続が遅くなる要因になりそうなことがあれば教えてください。 (3) DMZからLANへのアクセスを[全て]許可するのは、セキュリティ上どうかと思うのですが、MySQLにアクセスするのに何を許可すれば良いかわからず[Any]にしています。許可が必要なサービス(ポート?)を教えてください。

  • 条件付書式?色をつけたり空白にしたい。

    B7   C7   D7   E7   F7   G7   H7 各セルの表示は 7:31 17:00 465 1020 7:45 17:00  2:00 各セルの数式は B7,C7,H7はセルの書式設定で##":"##(このセルに数字を入れるだけにしてます) D7=INT(B7/100)*60+CEILING(MOD(B7,100),15) E7=INT(C7/100)*60+FLOOR(MOD(C7,100),15) F7=INT(D7/60)*100+MOD(D7,60) G7=INT(E7/60)*100+MOD(E7,60)になっています。 例えば、 B7セルに6:25としたら7:00より前なのF7セルのフォントとパターンの色を変えて  C7セルに18:52としたら18:00より後なのでG7セルのフォントとパターンの色を変える、 そしてC7セルが、空白の時はB7,F7,G7,H7セルを空白にしたいのですが、 よく分かりません、教えて頂けますか?

  • Firewallを導入する意味

    初歩的な質問で恐縮です。 ホームオフィスのような環境で個人で仕事を始めた友人にFirewall導入の要否を質問されたのですが、、Firewallを導入する意味がよくわからなくなってきました。 例えば、個人宅でインターネット契約する時にISPから提供されるルータでインターネットをしますが、その状態だけでも外からのアタックは防げますよね?ルータがあれば外(WAN側)から内(LAN側)へアクセスはできないはずなので(外ー内のルーティングを設定しない限り)。 となると、Firewallを導入する理由は、 -内←→外へのアクセスでPort制限する -DMZ上に置いたWebサーバを外部に公開する とか、そのような状況のみに必要で上記の友人のような環境では、不要でしょうか? または、Firewallを導入しないでルータだけだと実はLAN内のPCに不正アクセスされる可能性が高いとか、かなり危険なのでしょうか?

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する