- ベストアンサー
ルーターの静的IPマスカレード機能を利用したサーバーの公開
固定IPアドレスを1個取得しました。 この固定IPアドレスをルーター内蔵型ADSLモデムのADSL側インターフェースに設定しています。 サーバー機にはプライベートアドレスを割り当てて、このADSLモデムを経由してインターネットに接続しています。 インターネット側からサービス要求があった場合は、このADSLモデムの静的IPマスカレード機能を利用してサーバー機に転送しています。 今回、固定IPアドレス取得に伴いDNSサーバーをインターネットに公開しました。 DNSの設定は無事に終了し、インターネット側から自宅サーバーへのアクセスに成功しました。 しかし、なぜか自宅内からは自宅サーバーにアクセス出来なくなってしまいました。 恐らくDNSの設定を変更したことが原因と思われます。 以前までは、例えばwww.ninja.jpのDNS要求に対して192.168.1.130のように名前解決が行われサーバーにアクセスできたのですが、 今回、www.ninja.jpのDNS要求に対して200.200.200.200のように取得した固定IPアドレス(ルーターのアドレス)を返すように変更したのです。 普通に考えれば、その後ルーターのIPマスカレード機能により実際のサーバーにアクセス出来ると思っていたのですが、どうもうまくいきません。 なのでLAN内専用のDNSサーバーを用意し、LAN内から自宅サーバーを利用するときは、こちらのDNSを利用するしかないのかと考えています。 この運用ってどうでしょう。 かなり冗長な運用だと思うのですが。 ルーターの静的IPマスカレード機能を利用してサーバーを公開する場合、このような運用が限界なのでしょうか。
- zyousuke
- お礼率96% (890/920)
- その他([技術者向] コンピューター)
- 回答数5
- ありがとう数5
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
#2,#4です。 > この運用で問題ないですよね。 全く問題ありません。(^^) ところで、今まで(今も?)DNSサーバでプライベートIPを返すエントリがインターネット向けDNSに登録されていた、ということが書いてありましたが、これはあまりお奨めできません。というのも、以下のような理由があるからです。 ・インターネット上に、プライベートIP情報が出るのはルール違反 (ルーティング情報が出ているわけではありませんから、実害があまり無いと言えばその通りですが、ほめられたことでないのも確かです) ・外部の人間に、内部LANの構成を推測させるヒントを与えてしまう。(セキュリティ的にまずい) 小規模なネットワークであればさほど大きな問題にはならないかもしれませんが、企業LANなどでは相手に侵入や攻撃の糸口を与えることになりかねません。 このような場合、内部は全く別のドメイン(サブドメインでもOK)で運用して、DNSサーバ側で、そのドメイン内の名前解決はLAN内からしかできないようにする、という方法が考えられます。 今後ネットワークを構築・変更する機械がある場合はご注意ください。 では
その他の回答 (4)
- Toshi0230
- ベストアンサー率51% (836/1635)
> LAN内にDHCPとかが動いているサーバーがありますので、こいつにLAN専用のDNSを入れようと思います。 了解です。 じゃ、老婆心ながら2~3点ほど注意点を。 ・LAN内のDNSを設定するときに、インターネット上のドメイン名の名前解決もできるようにしておいてください(forwardでもいいですし、ルートから再帰検索する方法でもかまいません) ・LAN内PCのDNS指定は、LAN内のDNSサーバを参照するようにしてください。 当たり前といえば当たり前のことなんですが、これに関する質問が過去にいくつかあったもので。
お礼
老婆心だなんて、とんでもない。 再レスが来るのは、かなり嬉しいことです。 今、私の部屋では2台のサーバー機(mouse、cat)が動いています。 このうちmouseの方でDNSが動いており、インターネットに公開しているのもmouseサーバーです。 今回、catにDNSを入れたら、LAN内の全ての端末がcatにDNS要求を行うようにします。 mouseサーバーのリゾルバ設定も、自分自身のDNSを見るのではなく、catにDNS要求を出すようにする予定です。 mouseサーバーのDNSはあくまでインターネット側専用とする予定です。 なぜなら200.200.200.200(ルーター内蔵型ADSLモデムの外側インターフェース)はインターネットからしか見えないからです。 mouseが自分自身のDNSを参照してしまうと自分自身(192.168.1.130)にアクセスしたいとき、ルーターのアドレス(200.200.200.200)が返ってきてしまい通信が出来なくなると思います。 この運用で問題ないですよね。
- w210
- ベストアンサー率38% (92/238)
>つまるところはルーターの静的IPマスカレード機能は外部からのアクセス専用で、LAN内からは利用することは不可能という認識でよろしいでしょうか。 そうですね。そういう意味ではできないです。ちょっと説明すると、 一般的にはインターネット側とイントラ側の間にF/Wを置いて、このF/Wからさらに別LANを構築してDMZとします。サーバはここに置きます。これで、インターネットからイントラへの直接のアクセスができなくなりセキュリティを確保します。そしてイントラからもF/W経由でアクセスできるようにします。これが一般的なサーバ公開の構成です。 ここで、インターネットからアクセスするときはグローバルIPになるし、イントラからアクセスするときはプライベートIP(というか実IP)になります。この変換はF/Wで行います。質問者さんが言われるようにイントラからサーバをアクセスするときGIPでアクセスする=インターネット経由ということになり、IEの例外を削除してPROXY経由にすればインターネット経由でアクセスすることになります。これはサーバの動作を確認するために普通に行います。ですのでGIPは公開用のIPアドレスという位置づけになり、これと実IPを結びつけることをします。このときにIPマスカレードをしている状態になります。普通にNAT変換と言ってます。 ちなみにインターネットからサーバへはhttp(https)のみですが、メンテナンスはhttpだけではなくTELNETとかFTPとかいろんなAPを使いますからこのポートをF/Wに開けて通信ができるようにしておきます。 なかなか言葉では説明が難しいですね。お分かりいただけましたか?
お礼
w210さんの説明を私の環境に置き換えると、 まずADSLモデムがファイアウォールですね。 このモデムのLAN側インターフェースは1個しかないのですが、 仮想DMZホスト機能というものがついています。 この機能を使ってLANをサブネットに分割し、公開用のサーバーを192.168.1.128/255.255.255.128という仮想DMZ領域に設置しています。 なのでインターネット側からアクセス可能なのは、この仮想DMZ領域に設置してある端末だけとなり、イントラ側のセキュリティを確保しています。 IEの例外とかは、設定したことがないので分からないのですが、 今までの運用では1個のDNSサーバーに全てのサーバーを登録していました。 例えばmouseは200.200.200.200(グローバルアドレス) catは192.168.1.2 hedgehogは192.168.1.130 のように登録していました。 これによりインターネットからmouseサーバーが利用でき、 またLAN側からmouseサーバーを利用したいときは、hedgehog(実際のアドレス)にアクセスしていました。 なので、TELNETやFTPのポートをファイアウォールに開けずに済みます。 ちなみにcatやhedgehogなどのLAN専用サーバーに関してもインターネット側から名前解決が出来てしまいますが、特に問題視していませんでした。(問題ないですよね) それでは、何が問題だったのかといいますと、もうお気づきかも知れませんが、 そうです、電子メールの配送がうまくできないのでした。 インターネット側からの電子メールを受信するためには、MTAをmouse(公開サーバー)で動かす必要があります。 しかし、メール配送の際にMTAがmouseにリレー要求を出すのですが、mouseだと200.200.200.200(ADSLモデムの外側IP)が返ってきてしまい実際のサーバーまで要求が届かないのです。 このように、結構複雑怪奇なネットワーク構成になっていますが、今回、LAN専用のDNSを立てることにより、一気にネットワーク構成をシンプルにできるような気がします! 関係ないですが、外部からアクセス可能な丸腰のmouse(ネズミ)に対して、 外部からアクセス不可能な、武装したhedgehog(ハリネズミ)。 我ながら、なかなかイカすネーミングだと思いましたw
- Toshi0230
- ベストアンサー率51% (836/1635)
> LAN内専用のDNSサーバーを用意し、 (中略) > この運用ってどうでしょう。 No.1さんの回答にあるとおり、形的には別段不自然な運用ではありません。企業などではよく見られる形です。 もし外部向けDNSサーバも自宅のLAN内にあって、このサーバで自宅LAN内サーバの名前解決も行いたい、ということであれば、DNSサーバをBIND9で構築すれば可能です。 詳しく書くと長くなるので、BINDの参考書か、WWWで公開されている各種資料を参照してください。
お礼
Toshi0230さん、ご回答ありがとうございます。 なるほど、BIND9ではLAN側とインターネット側で違うIPを返す設定が出来るのですね。 しかも、今私が使っているレッドハットには標準でBIND9のRPMが入っていました。 しかし、私が特異だと思っていた運用方法は、実は企業などでごく一般的に利用されている方法ということを知りましたので、DNSに複雑な設定をするのはやめて、やっぱりLAN専用DNSを立てようと思います。 実はすでにLAN内にDHCPとかが動いているサーバーがありますので、こいつにLAN専用のDNSを入れようと思います。 ありがとうございました。
- w210
- ベストアンサー率38% (92/238)
こんにちは。 こういう運用はごく一般的に行われていることです。で、どうやってメンテナンスしているかというと。 ご指摘のとおり内部用のDNSサーバを別に立ち上げます。で、内部でアクセスするときはIEのPROXYの設定で例外にこのninja.jpのドメインを登録しておきます。これで、あなたが内部でアクセスするときは内部DNSで名前解決されインターネットは経由しません。 もちろん、IPアドレスを直接URLに指定すれば良いわけですし、hostsファイルに登録することでも名前解決は優先されます。
お礼
w210さん、ご返信ありがとうございます。 なるほど、公開用のDNSと内部専用のDNSを構築するのは、けっこう一般的なのですね。 これが私の知りたかったことです。 ですので、これが一般的な運用だと分かれば、早速内部用のDNSを設定したいと思います。 もう1つ知りたいことがあります。 つまるところはルーターの静的IPマスカレード機能は外部からのアクセス専用で、LAN内からは利用することは不可能という認識でよろしいでしょうか。 もし、どうにかしてLAN内からでもルーターのIPマスカレード機能を通して自宅サーバーにアクセスする方法があれば教えていただけませんか。
関連するQ&A
- IPマスカレードがうまくいかない
こんばんは。今実はルーターのIPマスカレードの設定をホームサーバーの為にやっているのですが、どうしてもうまくアドレス変換してくれず、ご質問させていただきました。 まず接続環境ですが、サーバーマシンまでの経路は 回線終端装置→ルーター(NTT WebCasterV100)→ルーター(メルコ社 BroadStationBLR3-TX4)→サーバーマシン となっており、BフレッツのISPはBIGLOBE使いほーだい を利用してます。固定IPはとっておらず、DDNSでのホームサーバーの設置を行おうとしているのですが、IPマスカレードの設定をしてもアクセスがサーバーマシンに流れてくれません。BroadStationルーターとサーバーマシンにはMacアドレスで固定でローカルアドレスを与え、サーバーマシンから外部へのpingOK、サーバーマシンのifconfigでも設定したローカルアドレスになっていることを確認、IPマスカレードの設定でも確かにサーバーマシンへ流れるよう80ポート転送OKとなっている・・はずなのですが何故か外部からアクセスするとサーバーマシンへ流れてくれず、ルーターで止まってしまい、ルーターの設定画面しか表示されず困っております。実験としてルーターを一つにして外からの80ポートへのアクセスをそのまま固定でローカルアドレスをつけたサーバーマシンへ流れるよう設定したのですがやはりだめでした。色々と調べてはみたのですが解決できず、質問させて頂きました。初心者でご迷惑をおかけしますが助言頂けると助かります。よろしくお願いいたします。
- ベストアンサー
- その他(PCパーツ・周辺機器)
- wwwサーバーを公開するためのルーターの設定について
COREGA BAR SW-4Pを使って自宅wwwサーバーの公開をしようと頑張っているのですが、サーバーの設定が終わりルーターの設定のみを残し行き詰まっています。 コレガの付属マニュアルは不親切で良く分かりません。だれか教えてもらえないでしょうか? IPはとりあえず非固定IPです。DNSはダイナミックDNSです。(マイドメインで利用可能なタイプです)”ルーターを使わずに”パソコンのみの設定ですとIPアドレス接続ではブラウザーに表示します。
- ベストアンサー
- その他(インターネット・Webサービス)
- 静的IPマスカレードはなぜ必要なんですか?
だって、わざわざ固定的にIPアドレスをと特定のポートを一つのアプリケーションに関連させなくても、動的にルーターがアドレスを割り当てるはずじゃないですか? それなのになぜ、静的関連づけてしまうんですか? 公開サーバにこの静的IPマスカレードがよく使われるときききここにしつもんします
- ベストアンサー
- ハードウェア・サーバー
- NAT,IPマスカレード
ルーター+DHCPサーバ機能のあるモデム場合、NAT,IPマスカレードは、ルーター機能でしょうか? DHCPサーバ機能をOFFにしても、NAT,IPマスカレードは機能しますよね?
- ベストアンサー
- ルーター・ネットワーク機器
- 静的IPマスカレードについて
前までは モデム→スイッチングHUB→パソコン(→有線) で接続し、静的IPマスカレードをMACアドレスにて設定し、外部からのアクセスが可能でしたが、先日より モデム→無線LAN(WHR-HP-G)⇒LAN端子用ハイパワー無線子機(WLI-TX4-G54HP)→パソコン(→有線、⇒無線) にて接続しています。 無線LAN(WHR-HP-G)はルータ機能はOFFです。 この状態だと、外部よりアクセス出来ません、どのように静的IPマスカレードを設定したら外部アクセスは可能になるでしょうか?
- ベストアンサー
- ルーター・ネットワーク機器
- 自宅メールサーバがうまく機能しない
はじめて投稿します。 今、Linuxで自宅サーバ(インターネットサーバ)を構築中なのですがメールサーバ(sendmail)のsmtpがうまく機能しなくて、エラーが出てしまい困っています。 環境としてはWinが一台にLinuxサーバが一台にそれをまとめるルータが一台です。 イントラネットだとうまく行くんですが、ルーターを介して外(インターネット)に出ようとするとsmtpエラーが出てしまうんです。IPマスカレードも有効にして外に出るようになってはいるのですが、うまく行きません。 DNSは自分で建てずにresolv.confにISPのDNSのIPアドレスを記述しています。 これだけの情報では、sendmailがDNSを参照しに行けないのでしょうか。 基本的に動的IPで建てているのですがそれが問題なのでしょうか。 基本的に自サーバのDNSやダイナミックDNSは使いたくないのでこの環境で構築したいと思っています。 どーかこの質問のわかる方ご回答よろしくお願いします。
- 締切済み
- その他(OS)
- ルータのwan側のipアドレス」から...
「インターネットーADSLモデムールーターPC1・pc2・NAS」という構成です。 ルータの設定をブラウザで見て疑問点があります。ルータのwan側デフォルトゲートウェイとはルータのwan側のipアドレスと思いますが、プロバイダから割り振られたipアドレスとはADSLモデム側のipアドレスでしょうか? 動作としては、ipアドレスの変換(ipマスカレード機能?)して インターネットする時には「ルータのwan側のipアドレス」から「ADSLモデム」のグローバルアドレスに送るのでしょうか?「ルータのwan側のipアドレス」はルータ側のインターフェースなのでグローバルアドレスではない、という事で正しいでしょうか? よく分らないので詳しく教えてくれると助かります。教えてください。
- ベストアンサー
- ADSL
- OPT100Eのルーターでのサーバ設定
バッファローのルーターを使用してWebサーバを公開していたのですが ルーターが落ちるばかりしていたのでOPT100Eを購入しました。 同じように簡単に設定ができると思っていましたがサーバを公開する設定方法がわかりません。 ホームページに詳しく説明が出ていますがサーバのプライベートアドレスを192.168.11.10に固定することができません。 そのアドレスに固定したいのはDNSをサーバで行っているためサーバの設定を変更するのが大変だからです。 バッファローのルーターではmacアドレスで固定プライベートアドレスを好きに設定していましたが、新しいルーターではそのような設定が見つかりません。 今できたのはルーターのプライベートアドレスを192.168.11.1にすることとサーバのIPマスカレード設定(ポート80を192.168.11.10)です。
- ベストアンサー
- その他(ITシステム運用・管理)
- 2段階のIPマスカレードは可能?
企業内の1部署のネットワーク管理者をやっています。 部署内のPCは20台、会社全体で120台ほどです。 これまで、各部署にグローバルアドレスが1つ割り当てられており、それをブロードバンドルータに割り当ててIPマスカレードで部署内のクライアントPCにDHCPで割り振っていました。(割り当てアドレスは192.168.0.[1-25]) ところが、会社全体のグローバルアドレス数を見直し、会社の入口のゲートウェイサーバでIPマスカレードをおこなう形にしたため、部署の入口ルータをはずし、クライアントPCに直接プライベートアドレスがDHCPで割り当てられるようになりました。(192.168.100.[1-150]) ところが、他部署とネットワークを分けたい事情が発生し、部署の入口にブロードバンドルータを戻し、WAN側を192.168.100.151として、LAN側をこれまでの192.168.0.[1-25]としたたところ、インターネットへの通信できません。 部署の入口のルータ、会社の入口のサーバへはPINGが届き、Webブラウザでのルータ設定画面にも入ることが出来ます。ですが、社外ホームページの閲覧ができません。 2段階のIPマスカレードがいけないのでしょうか。また何か他の方法で解決できるのしょうか。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- 外部公開サーバにおけるルータの設定
外部公開サーバを構築中で外部からhttpにてサーバへアクセスさせるため、 静的IPマスカレードの設定を行ったのですが、うまくいきません。 設定を行った後に、 http://グローバルIPアドレス とPCから入力しても、ルータの管理画面が表示されてしまいます。 サーバはCentOS5.2でapacheが動作し、 LAN側のPCからブラウザでアクセスできることを確認済みです。 ルータの管理画面(PCのブラウザからアクセス)にて、 静的IPマスカレードの設定を行いました。 ルータはNTTからレンタルしているPR-200NEです。 下記の通り設定しました。 ------ エントリ番号:1(なにもなかったので) 変換対象プロトコル:TCP 変換対象ポート:www 宛先アドレス:192.168.1.101(プライベート空間におけるサーバのIPアドレス) 宛先ポート:www ------ このほかに設定する項目があるのでしょうか。 上述にもありますが、ブラウザからのアクセスで、 エラーメッセージもなくルータの管理画面が開いてしまうので、 完全にルータの設定に誤りがあると判断しているのですが・・・。 プライベート空間は下記の通りIPアドレスを振っています。 ルータ:192.168.1.1 サーバ:192.168.1.101 PC:192.168.1.3 アドバイスをいただけると幸いです。 よろしくお願いします。
- 締切済み
- ネットワーク
お礼
Toshi0230さん、ご返信ありがとうございます。 やはり、プライベートアドレスを公開DNSに登録するなんて反則ですよね。 現在は、LAN専用のDNSを立て、こちらに移行しています。 公開用DNSにはグローバルアドレスのみ登録しました。 しかし、ドメインを取得してからLAN専用DNSを稼働させるまでの短い期間でしたが、 かなり危険な行為をしていたのですね。 大事なことを教えていただきありがとうございました。 ところで、LAN専用DNSを立ててまもなく、 新たなトラブルが発生し、 早くも、新しい質問を投稿させていただいております。 そして、いくつか回答、アドバイスを頂いているのですが、 実は、未だ解決していません。 Toshi0230さん、もしよろしければ、 こちらの質問もご覧いただけますか。 アドレスは http://oshiete1.goo.ne.jp/kotaeru.php3?q=1571000 です。 以上、よろしくお願いします。