• ベストアンサー
  • 暇なときにでも

ルーターの静的IPマスカレード機能を利用したサーバーの公開

固定IPアドレスを1個取得しました。 この固定IPアドレスをルーター内蔵型ADSLモデムのADSL側インターフェースに設定しています。 サーバー機にはプライベートアドレスを割り当てて、このADSLモデムを経由してインターネットに接続しています。 インターネット側からサービス要求があった場合は、このADSLモデムの静的IPマスカレード機能を利用してサーバー機に転送しています。 今回、固定IPアドレス取得に伴いDNSサーバーをインターネットに公開しました。 DNSの設定は無事に終了し、インターネット側から自宅サーバーへのアクセスに成功しました。 しかし、なぜか自宅内からは自宅サーバーにアクセス出来なくなってしまいました。 恐らくDNSの設定を変更したことが原因と思われます。 以前までは、例えばwww.ninja.jpのDNS要求に対して192.168.1.130のように名前解決が行われサーバーにアクセスできたのですが、 今回、www.ninja.jpのDNS要求に対して200.200.200.200のように取得した固定IPアドレス(ルーターのアドレス)を返すように変更したのです。 普通に考えれば、その後ルーターのIPマスカレード機能により実際のサーバーにアクセス出来ると思っていたのですが、どうもうまくいきません。 なのでLAN内専用のDNSサーバーを用意し、LAN内から自宅サーバーを利用するときは、こちらのDNSを利用するしかないのかと考えています。 この運用ってどうでしょう。 かなり冗長な運用だと思うのですが。 ルーターの静的IPマスカレード機能を利用してサーバーを公開する場合、このような運用が限界なのでしょうか。

共感・応援の気持ちを伝えよう!

  • 回答数5
  • 閲覧数549
  • ありがとう数5

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.5

#2,#4です。 > この運用で問題ないですよね。 全く問題ありません。(^^) ところで、今まで(今も?)DNSサーバでプライベートIPを返すエントリがインターネット向けDNSに登録されていた、ということが書いてありましたが、これはあまりお奨めできません。というのも、以下のような理由があるからです。 ・インターネット上に、プライベートIP情報が出るのはルール違反 (ルーティング情報が出ているわけではありませんから、実害があまり無いと言えばその通りですが、ほめられたことでないのも確かです) ・外部の人間に、内部LANの構成を推測させるヒントを与えてしまう。(セキュリティ的にまずい) 小規模なネットワークであればさほど大きな問題にはならないかもしれませんが、企業LANなどでは相手に侵入や攻撃の糸口を与えることになりかねません。 このような場合、内部は全く別のドメイン(サブドメインでもOK)で運用して、DNSサーバ側で、そのドメイン内の名前解決はLAN内からしかできないようにする、という方法が考えられます。 今後ネットワークを構築・変更する機械がある場合はご注意ください。 では

共感・感謝の気持ちを伝えよう!

質問者からのお礼

Toshi0230さん、ご返信ありがとうございます。 やはり、プライベートアドレスを公開DNSに登録するなんて反則ですよね。 現在は、LAN専用のDNSを立て、こちらに移行しています。 公開用DNSにはグローバルアドレスのみ登録しました。 しかし、ドメインを取得してからLAN専用DNSを稼働させるまでの短い期間でしたが、 かなり危険な行為をしていたのですね。 大事なことを教えていただきありがとうございました。 ところで、LAN専用DNSを立ててまもなく、 新たなトラブルが発生し、 早くも、新しい質問を投稿させていただいております。 そして、いくつか回答、アドバイスを頂いているのですが、 実は、未だ解決していません。 Toshi0230さん、もしよろしければ、 こちらの質問もご覧いただけますか。 アドレスは http://oshiete1.goo.ne.jp/kotaeru.php3?q=1571000 です。 以上、よろしくお願いします。

その他の回答 (4)

  • 回答No.4

> LAN内にDHCPとかが動いているサーバーがありますので、こいつにLAN専用のDNSを入れようと思います。 了解です。 じゃ、老婆心ながら2~3点ほど注意点を。 ・LAN内のDNSを設定するときに、インターネット上のドメイン名の名前解決もできるようにしておいてください(forwardでもいいですし、ルートから再帰検索する方法でもかまいません) ・LAN内PCのDNS指定は、LAN内のDNSサーバを参照するようにしてください。 当たり前といえば当たり前のことなんですが、これに関する質問が過去にいくつかあったもので。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

老婆心だなんて、とんでもない。 再レスが来るのは、かなり嬉しいことです。 今、私の部屋では2台のサーバー機(mouse、cat)が動いています。 このうちmouseの方でDNSが動いており、インターネットに公開しているのもmouseサーバーです。 今回、catにDNSを入れたら、LAN内の全ての端末がcatにDNS要求を行うようにします。 mouseサーバーのリゾルバ設定も、自分自身のDNSを見るのではなく、catにDNS要求を出すようにする予定です。 mouseサーバーのDNSはあくまでインターネット側専用とする予定です。 なぜなら200.200.200.200(ルーター内蔵型ADSLモデムの外側インターフェース)はインターネットからしか見えないからです。 mouseが自分自身のDNSを参照してしまうと自分自身(192.168.1.130)にアクセスしたいとき、ルーターのアドレス(200.200.200.200)が返ってきてしまい通信が出来なくなると思います。 この運用で問題ないですよね。

  • 回答No.3
  • w210
  • ベストアンサー率38% (92/238)

>つまるところはルーターの静的IPマスカレード機能は外部からのアクセス専用で、LAN内からは利用することは不可能という認識でよろしいでしょうか。 そうですね。そういう意味ではできないです。ちょっと説明すると、 一般的にはインターネット側とイントラ側の間にF/Wを置いて、このF/Wからさらに別LANを構築してDMZとします。サーバはここに置きます。これで、インターネットからイントラへの直接のアクセスができなくなりセキュリティを確保します。そしてイントラからもF/W経由でアクセスできるようにします。これが一般的なサーバ公開の構成です。 ここで、インターネットからアクセスするときはグローバルIPになるし、イントラからアクセスするときはプライベートIP(というか実IP)になります。この変換はF/Wで行います。質問者さんが言われるようにイントラからサーバをアクセスするときGIPでアクセスする=インターネット経由ということになり、IEの例外を削除してPROXY経由にすればインターネット経由でアクセスすることになります。これはサーバの動作を確認するために普通に行います。ですのでGIPは公開用のIPアドレスという位置づけになり、これと実IPを結びつけることをします。このときにIPマスカレードをしている状態になります。普通にNAT変換と言ってます。 ちなみにインターネットからサーバへはhttp(https)のみですが、メンテナンスはhttpだけではなくTELNETとかFTPとかいろんなAPを使いますからこのポートをF/Wに開けて通信ができるようにしておきます。 なかなか言葉では説明が難しいですね。お分かりいただけましたか?

共感・感謝の気持ちを伝えよう!

質問者からのお礼

w210さんの説明を私の環境に置き換えると、 まずADSLモデムがファイアウォールですね。 このモデムのLAN側インターフェースは1個しかないのですが、 仮想DMZホスト機能というものがついています。 この機能を使ってLANをサブネットに分割し、公開用のサーバーを192.168.1.128/255.255.255.128という仮想DMZ領域に設置しています。 なのでインターネット側からアクセス可能なのは、この仮想DMZ領域に設置してある端末だけとなり、イントラ側のセキュリティを確保しています。 IEの例外とかは、設定したことがないので分からないのですが、 今までの運用では1個のDNSサーバーに全てのサーバーを登録していました。 例えばmouseは200.200.200.200(グローバルアドレス) catは192.168.1.2 hedgehogは192.168.1.130 のように登録していました。 これによりインターネットからmouseサーバーが利用でき、 またLAN側からmouseサーバーを利用したいときは、hedgehog(実際のアドレス)にアクセスしていました。 なので、TELNETやFTPのポートをファイアウォールに開けずに済みます。 ちなみにcatやhedgehogなどのLAN専用サーバーに関してもインターネット側から名前解決が出来てしまいますが、特に問題視していませんでした。(問題ないですよね) それでは、何が問題だったのかといいますと、もうお気づきかも知れませんが、 そうです、電子メールの配送がうまくできないのでした。 インターネット側からの電子メールを受信するためには、MTAをmouse(公開サーバー)で動かす必要があります。 しかし、メール配送の際にMTAがmouseにリレー要求を出すのですが、mouseだと200.200.200.200(ADSLモデムの外側IP)が返ってきてしまい実際のサーバーまで要求が届かないのです。 このように、結構複雑怪奇なネットワーク構成になっていますが、今回、LAN専用のDNSを立てることにより、一気にネットワーク構成をシンプルにできるような気がします! 関係ないですが、外部からアクセス可能な丸腰のmouse(ネズミ)に対して、 外部からアクセス不可能な、武装したhedgehog(ハリネズミ)。 我ながら、なかなかイカすネーミングだと思いましたw

  • 回答No.2

> LAN内専用のDNSサーバーを用意し、 (中略) > この運用ってどうでしょう。 No.1さんの回答にあるとおり、形的には別段不自然な運用ではありません。企業などではよく見られる形です。 もし外部向けDNSサーバも自宅のLAN内にあって、このサーバで自宅LAN内サーバの名前解決も行いたい、ということであれば、DNSサーバをBIND9で構築すれば可能です。 詳しく書くと長くなるので、BINDの参考書か、WWWで公開されている各種資料を参照してください。

参考URL:
http://www.dream-seed.com/linux/bind.html

共感・感謝の気持ちを伝えよう!

質問者からのお礼

Toshi0230さん、ご回答ありがとうございます。 なるほど、BIND9ではLAN側とインターネット側で違うIPを返す設定が出来るのですね。 しかも、今私が使っているレッドハットには標準でBIND9のRPMが入っていました。 しかし、私が特異だと思っていた運用方法は、実は企業などでごく一般的に利用されている方法ということを知りましたので、DNSに複雑な設定をするのはやめて、やっぱりLAN専用DNSを立てようと思います。 実はすでにLAN内にDHCPとかが動いているサーバーがありますので、こいつにLAN専用のDNSを入れようと思います。 ありがとうございました。

  • 回答No.1
  • w210
  • ベストアンサー率38% (92/238)

こんにちは。 こういう運用はごく一般的に行われていることです。で、どうやってメンテナンスしているかというと。 ご指摘のとおり内部用のDNSサーバを別に立ち上げます。で、内部でアクセスするときはIEのPROXYの設定で例外にこのninja.jpのドメインを登録しておきます。これで、あなたが内部でアクセスするときは内部DNSで名前解決されインターネットは経由しません。 もちろん、IPアドレスを直接URLに指定すれば良いわけですし、hostsファイルに登録することでも名前解決は優先されます。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

w210さん、ご返信ありがとうございます。 なるほど、公開用のDNSと内部専用のDNSを構築するのは、けっこう一般的なのですね。 これが私の知りたかったことです。 ですので、これが一般的な運用だと分かれば、早速内部用のDNSを設定したいと思います。 もう1つ知りたいことがあります。 つまるところはルーターの静的IPマスカレード機能は外部からのアクセス専用で、LAN内からは利用することは不可能という認識でよろしいでしょうか。 もし、どうにかしてLAN内からでもルーターのIPマスカレード機能を通して自宅サーバーにアクセスする方法があれば教えていただけませんか。

関連するQ&A

  • NAT,IPマスカレード

    ルーター+DHCPサーバ機能のあるモデム場合、NAT,IPマスカレードは、ルーター機能でしょうか? DHCPサーバ機能をOFFにしても、NAT,IPマスカレードは機能しますよね?

  • IPマスカレードがうまくいかない

    こんばんは。今実はルーターのIPマスカレードの設定をホームサーバーの為にやっているのですが、どうしてもうまくアドレス変換してくれず、ご質問させていただきました。 まず接続環境ですが、サーバーマシンまでの経路は 回線終端装置→ルーター(NTT WebCasterV100)→ルーター(メルコ社 BroadStationBLR3-TX4)→サーバーマシン となっており、BフレッツのISPはBIGLOBE使いほーだい を利用してます。固定IPはとっておらず、DDNSでのホームサーバーの設置を行おうとしているのですが、IPマスカレードの設定をしてもアクセスがサーバーマシンに流れてくれません。BroadStationルーターとサーバーマシンにはMacアドレスで固定でローカルアドレスを与え、サーバーマシンから外部へのpingOK、サーバーマシンのifconfigでも設定したローカルアドレスになっていることを確認、IPマスカレードの設定でも確かにサーバーマシンへ流れるよう80ポート転送OKとなっている・・はずなのですが何故か外部からアクセスするとサーバーマシンへ流れてくれず、ルーターで止まってしまい、ルーターの設定画面しか表示されず困っております。実験としてルーターを一つにして外からの80ポートへのアクセスをそのまま固定でローカルアドレスをつけたサーバーマシンへ流れるよう設定したのですがやはりだめでした。色々と調べてはみたのですが解決できず、質問させて頂きました。初心者でご迷惑をおかけしますが助言頂けると助かります。よろしくお願いいたします。

  • 静的IPマスカレードについて

    前までは モデム→スイッチングHUB→パソコン(→有線) で接続し、静的IPマスカレードをMACアドレスにて設定し、外部からのアクセスが可能でしたが、先日より モデム→無線LAN(WHR-HP-G)⇒LAN端子用ハイパワー無線子機(WLI-TX4-G54HP)→パソコン(→有線、⇒無線) にて接続しています。 無線LAN(WHR-HP-G)はルータ機能はOFFです。 この状態だと、外部よりアクセス出来ません、どのように静的IPマスカレードを設定したら外部アクセスは可能になるでしょうか?

  • サーバたてたいのですがルータはどういう種類が良い?

    当方、Windowsしか触ったことのないユーザなのですが、今回初めてlinux(自宅サーバ)に挑戦しようと思っています。 現在、指南書を読んで恐る恐る構築中です。 linux云々の前にネットワークの知識が皆無なのでどなたか、ご教授いただきたいのですが、サーバ環境を構築するに際し、ルータはどのようなものが良いかと困惑中です。 現在YahooBB!のADSLモデム(50MB)のみの環境なのでルータを追加しなければいけないのですよね? ルータにも無線、有線と種類があるようですし、伝送速度の違いもよくわかりません。 希望としては無線にしたいところですが、速度が遅いイメージがあります…(そうでもないのかな?) また、yahooでも『無線LANパック』なるものもあるようですし、現在のADSLモデム環境からそのまま伝送速度を落とさないで利用できるのでしょうか? 初歩的な質問ですみません。

  • DHCPサーバー機能ADSL

    テレビでインターネットができるという、it's station2なるマルチメディアプレーヤーみたいな物を買ったのですが、どうやらADSLモデムがDHCPサーバー機能を有して無いとインターネットに繋げないようなのです。設定は、いたってシンプルでADSLプロバイダのIDとパスワードを入力してOKをするとDHCPサーバー機能でIPアドレスを取得して、設定完了。その後繋げるという感じなのですが、自宅のADSLモデムはLANタイプでこのIPアドレス取得の時にエラー、取得できまん。となって、設定が出来ないのです。なんとか、今の状態でこれをADSLでインターネットに繋げる方法はないでしょうか?設定には他に静止IPなる項目が合って、ホスト名、ドメイン、IPアドレス、サブネットマスク、ウェブゲートサーバー、DNSを入力する欄がありましたが、これはなんの為にあるのか私には全くわかりません。

    • ベストアンサー
    • ADSL
  • 個人DNSサーバーを使用した運営について

    先日、玄箱(非HG)を購入し、bind8を導入して自宅にてDNSサーバーを運用することが出来たのですが、そのDNSサーバーを使用したウェブサーバーの運用で困っています。 お名前.comにてドメインを取得し、DNSサーバーのホスト名、及びIPアドレスを登録していざ自分のホームページにアクセスしようとすると、「ページが表示されません。」とエラーが返されます。サーバーが存在するネットワークでは正常に自分のホームページが表示されるので、もしかすると、自宅で使用しているADSLのルーターが邪魔をしているのではないかと思いました。ポートの開き方は色々な本を調べて分かったのですが、DNSを使用するときはどこのポートを開けば、ルーター外部からルーター内部のDNSサーバーに接続する事が出来るのでしょうか? ご教授頂けると幸いです。宜しくお願いします。 尚、DNSサーバー、及びウェブサーバーが正常に動作していることは確認済みです。

  • サーバ公開について

    ルータに接続された端末のパソコンからWebサイトを公開しようと考えているのですが、ダイナミックDNSで登録してIPアドレスの更新をしたのですが「ページが表示されません」というページになってしまいます。どうしたらいいのでしょうか?皆様の知恵をお貸しください。よろしくお願いします。ソフト(04WebServer) ・構成     インターネット        ↓ _______[モデム(ADSL)]_______        ↓     <コレガのルータ>         ↓ _Webサイトを公開するパソコン]_ という感じです。

  • 自宅メールサーバがうまく機能しない

    はじめて投稿します。 今、Linuxで自宅サーバ(インターネットサーバ)を構築中なのですがメールサーバ(sendmail)のsmtpがうまく機能しなくて、エラーが出てしまい困っています。 環境としてはWinが一台にLinuxサーバが一台にそれをまとめるルータが一台です。 イントラネットだとうまく行くんですが、ルーターを介して外(インターネット)に出ようとするとsmtpエラーが出てしまうんです。IPマスカレードも有効にして外に出るようになってはいるのですが、うまく行きません。 DNSは自分で建てずにresolv.confにISPのDNSのIPアドレスを記述しています。 これだけの情報では、sendmailがDNSを参照しに行けないのでしょうか。 基本的に動的IPで建てているのですがそれが問題なのでしょうか。 基本的に自サーバのDNSやダイナミックDNSは使いたくないのでこの環境で構築したいと思っています。 どーかこの質問のわかる方ご回答よろしくお願いします。

  • wwwサーバーを公開するためのルーターの設定について

    COREGA BAR SW-4Pを使って自宅wwwサーバーの公開をしようと頑張っているのですが、サーバーの設定が終わりルーターの設定のみを残し行き詰まっています。 コレガの付属マニュアルは不親切で良く分かりません。だれか教えてもらえないでしょうか? IPはとりあえず非固定IPです。DNSはダイナミックDNSです。(マイドメインで利用可能なタイプです)”ルーターを使わずに”パソコンのみの設定ですとIPアドレス接続ではブラウザーに表示します。

  • IPマスカレード機能って、安全?

    私は”NET GENESYS CAT”というルーターHUBで IPマスカレード機能を使って、パソコン数台でインターネットしています。 私はこれで、インターネットによる外部侵入者をシャットアウトできると 思っているのですが、実際の所どうなのでしょうか? ファイアーウオールはプリンターとパソコンを数台共有している私の環境では、 とても不便なのです。 私のパソコン環境は、フレッツADSL8M+NTT西日本純正モデム。 OSは WIN XP & WIN98SE 数台 パソコン間の接続は、10BASE-T NTTのフレッツADSL接続ソフトは使っていません。 何方か分かる方、宜しくお願い致します。