スタティックルート？

Firewallなどのルーター上の別インターフェースにそれぞれ同一セグメントを割り当てたとき（下図のように）、LANセグメント－DMZセグメント間のパケット通信は問題なく可能でしょうか？（スタティックルートを使用？）
このような設定はよくあるものなのか、それともirregularであまりお勧めできないでしょうか？

|WAN-INT
|(GB:A.B.C.D/29)
[[[[ファイアーウォール]]]]
|DMZ-INT |LAN-INT
|(PV:E.F.G.0/24) |(PV:E.F.G.0/24)
| |
[SVR] |
(PV:E.F.G.200/24) [CLIENT PCs]
(PV:E.F.G.xx/24)

ベストアンサー kuma-ku 回答No.2

こんばんは
LAN/DMZ の設定については、Firewall やRouter の設定で、
I/F への同一セグメントの設定が可能な場合は少なく、
LAN とDMZ のネットワークを分けるのが普通です。

そうしなければ、”DMZ”の持つ意味がありません。
”DMZ”は、本来Internet などの公共セグメントからの通信を受け入れ、
LAN セグメントに流入させる事なく、
セキュリティ面とトラフィックの管理面を担う
専用のセグメントとして用意されるモノです。

そのため、今回ご質問されているような構成は、
機器の設定上でも難しいことに加え、
セキュリティや管理面から見てもイレギュラーと言える構成です。

私から提案するなら、「I/F の設定例としては
LAN I/F：192.168.1.254/24
DMZ I/F：192.168.100.254/24
とし、
WAN I/F からStatic-NAT でServer に紐付けを行う」
と言うことです。

LAN/DMZ 間の通信は、Firewall であれば通信ルールを作り、
Router であればとくに設定しなくてもIP での通信は可能です。
※URL などName を使った通信は、
　hosts File をLAN 内のPC にインストールするか、
　LAN 内にDNS が必要です。

suzui 回答No.3

ファイアウォール製品によりますが、製品がサポートしていれば構成的には問題ないです。いわゆる転送デバイスとしてはスイッチングハブのように動作し、ファイアウォールとしては上位層までチェックするという動きをします。
製品がサポートしていれば別にイレギュラーではありません。
DMZを使った3セグメント構成で使うケースは少ないでしょうか。外側と内側の2セグメント構成で、ファイアウォールの存在自体を隠したい場合には使われることがあります。
よくある構成かと言われると、どちらかといえばマイナーだと答えておきたいと思います。

ルータのようなアドレッシングしか許さないファイアウォール製品では、当然イレギュラーです。

Toshi0230 回答No.1

ダメです。
Firewallやルータの各インタフェースには、別のセグメント（サブネット）を割り当てるようにしてください。
同じサブネットを割り当てた場合は、通信が正常に行われません。

質問のネットワーク図ならば、DMZと内部LANのネットマスクを25bit等に変更して、別ネットワークとするか、DMZまたは内部LANのIPの片方を全く別のネットワーク(E.F.H.0/24など)に変更してください。