• ベストアンサー

ファイアウォールにおけるネットワーク分割

・ISPからの割り当て IPアドレス:202.xxx.xxx.96~111 ネットマスク:255.255.255.240(28ビット) 各ゾーンのアドレス ・WAN側:202.xxx.xxx.96/28(グローバル) 97~102をホストで利用可能 96はネットワークアドレス、103はブロードキャストアドレス ・DMZ側:202.xxx.xxx.104/29(グローバル) 105~110をホストで利用可能 104はネットワークアドレス、111はブロードキャストアドレス ・LAN側:192.168.1.0/24(プライベート) (1)ルータのNIC(ファイアウォールに対向する側)とファイアウォールのWAN側NICは、ISPから指定されたIPアドレスとネットマスクをそのまま使用 (2)DMZのネットワークアドレスは、WAN側よりマスクが1ビット長いものを設定。→割り当てられたネットワークの後半部分をサブネットとして切り出すため。 (3)ファイアウォールには、WAN側(96~103)宛てとDMZ側(104~111)宛てのパケットについて、それぞれルーティング設定をしておく。 (4)ルータには、202.xxx.xxx.96~111宛てのパケットについて、ファイアウォールのWAN側NICをゲートウェイとして転送するルーティング設定をしておく。 (4)は、ルータとDMZ側が同一ネットワークアドレスに属する(アドレスが同一とはどういうことか?)にもかかわらず、実際には同一ネットワークに存在しないために必要。この設定がないと、ルータは202.xxx.xxx.96~111宛てのパケットを直接転送する(直接とはどういう意味か?)ために、ARPによって転送先のMACアドレスを得ようとするが、これはDMZ側アドレスに関しては失敗する(なぜ失敗するのか?)ため、通信不能になる。 ()の疑問について教えていただけると助かります。

質問者が選んだベストアンサー

  • ベストアンサー
noname#17587
noname#17587
回答No.1

アドレスしか書かれていないので結線は想像で答えます。 また、質問者は設計者と違うのですか?誰から誰に対する質問か良くわからないので純粋に質問にだけ答えます (アドレスが同一とはどういうことか?) ISPから見ると、割り当てたネットワークは202.xxx.xxx.96~111の範囲1個なので msndanceさんのネットワークにDMZが存在する事はわかりません。 なので、ISPからみてアドレスが同一ということでないでしょうか (直接とはどういう意味か?) 先ほどの質問と同じでISPからは同一のネットワークに見えるわけで、 同一のネットワークアドレスに直接転送と言う意味だと思います (なぜ失敗するのか?) ARPとはレイヤ2の通信なので同一ネットワーク内にしか届きません、 DMZが直接接続されたネットワークで無い場合はARPが失敗します。 アドレスの割り当て方から某光系ISPだと思われますが、 あくまでIPアドレスだけを割り当てているのであって、 ネットワーク構成を通知するためにはルーティングテーブルの交換が必要になります。この辺は敷居が高いのでネットワークをしっかり勉強して検討してみてください。

msndance
質問者

お礼

>(なぜ失敗するのか?) >ARPとはレイヤ2の通信なので同一ネットワーク内にしか届きません、 >DMZが直接接続されたネットワークで無い場合はARPが失敗します。 これで理解できました。ありがとうございます。 ここであげたアドレスはネットワークの勉強のための仮想的なものです。もう少し礼儀正しい質問文が打てればよかったのですが、800字という字数制限ギリギリだったため、とりとめのない文章になってしまいました。すみません。

その他の回答 (1)

  • mii-japan
  • ベストアンサー率30% (874/2820)
回答No.2

IPアドレス:202.xxx.xxx.96~111/28 のサブネットを 202.xxx.xxx.96/29 と 202.xxx.xxx.104/29 の二つに分けて使用すると受け止めないとおかしくなります >202.xxx.xxx.96/28(グローバル) >97~102をホストで利用可能 >96はネットワークアドレス、103はブロードキャストアドレス これは設定が中途半端です ブロードキャストは 202.xxx.xxx.111 になります もしくは 202.xxx.xxx.96/29  です

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • BBルータでネットワークを分割できる?

    こんにちは。 売価が約4千円の家庭用ブロードバンドルータ(ioデータ製NP-BBRM)を購入しました。このルータは、VLANは未対応ですがRIP2には対応しています。これを使って、同一ブロードキャストドメインのネットワークを分割することは"可能"と考えているのですが、誤解でしょうか? (現状のネットワーク規模は、サーバ機器が数台,ホストPCが約20台,SWハブが2台,ルータが1台という構成です。) 上記が誤りであるならば、その旨ご指摘をお願いします。 もしも正解である場合、下記の御指南をお願いします。 1.ブロードキャストドメインを分割したい機器は、あるサーバ機器1台のみで、これをブロードバンドルータのWAN側に繋げばよいのでしょうか? (WAN側/LAN側の違いは、ping許可等のセキュリティポリシーの相違のみという理解でよいのでしょうか?) 2.分割前のネットワークアドレスは192.168.1.0/24です。分割したいサーバのIPアドレスを192.168.1.xxxのまま、上記BBルータによりブロードキャストドメインを分割することは可能なのでしょうか? 3.現状設備であるルータ(デフォルトG/W)の型番やルーティング方法は現時点では不明なのですが、RIP2以外のルーティング方法が用いられている場合は、静的ルーティングテーブルの追加設定が必須という理解でよいのでしょうか? よろしくお願いいたします。

  • ネットワーク設定がわかりません・・・

    ネットワーク初心者です。勉強のためDDNSで固定IPを持たず自宅WEBサーバを立てています。 固定IPを持っていないので、下図【現在の構成】のように、インターネットからWEBサーバへのアクセスは、DDNSとルータのポートフォワーディング機能で、プライベートアドレスのWEBサーバに転送されるようにしています。 そしてこの度、興味からファイアウォール(Fortigate60)を購入し、下図【将来の構成】のような構成にしたいと思っています。 固定IPを取得すれば簡単だと思いますが、でもこのまま固定IPは取得せず今まで通りDDNSで運用してみたいのです。 そのような場合、ルータ、ファイアウォール、及びPCやWEBサーバにはどのようなネットワーク設定をしてやればよいのでしょうか? ルータにもファイアウォールにもポートフォワーディング・ルーティング機能があり、どのようにIPアドレス、ゲートウェイアドレス、ポート転送、静的ルーティング等の設定してやればよいのか、複雑でよくわからなく困っています。 【現在の構成】 Internet-[ADSLモデム付ルータ]-[HUB]-[PC]                  |              [WEBサーバ] ・ルータ(AtermDR202)のLAN側は192.168.0.1です。 ・LAN側の機器には全て192.168.0.Xを割り当てています。 ・PC、WEBサーバ用PCのデフォルトゲートウェイ設定は192.168.0.1です。 ・ルータはPPPoEブリッジの機能有 【将来の構成】 Internet-[ADSLモデム付ルータ]-[F/W]-LAN側:PC                 |               DMZ側:WEBサーバ ・ファイアウォールは LAN側ポート×4、WAN側ポート×2、DMZポート×1 を備えています。 ファイアウォールを設置する意味など、ツッコミどころはあるかもしれませんが、どうぞよろしくお願いします。               

  • ブロードキャスト転送できるかはルータによりますか?

    WHR-HP-G300N ブロードキャスト転送できるかはルータによりますか? 【ポート変換】 プロトコル:UDP ポート:2304 LAN側IPアドレス:192.168.1.255 を指定すると ※LAN側ブロードキャストアドレスは使用できません となり、WAN側に届いたパケットをブロードキャストすることができません。 このようなルーターで、すべての端末へブロードキャストを行わないといけない 状況のパケット転送設定をすることは機器的に無理なのでしょうか? 方法としてあきらめるしかないですかね?

  • ファイアウォール・・・

    教えてください。 ルータのWAN側はISPよりグローバルアドレスを動的に取得します。LAN側には、たとえば192.168.10.1のプライベートアドレスを振ります。またルータでNATを有効にします。 ルータの下部にファイアウォールを置き、WAN側に192.168.10.2をLAN側には192.168.200.1を振り、セグメントを分け、ファイアウォールでもNATを有効にします。 このような場合、192.168.200.0のネットワーク内のPCのデフォルトゲートウェイは192.168.200.1でよいのでしょうか。 また、このような構成で外部(インターネット側)との通信は出来るでしょうか。ファイアウォールは、外部との通信を許可してます。

  • ESXサーバのネットワーク設定

    ESXサーバのネットワーク設定で、 NICのアドレスは192.168.1.XXX ですが、 仮想サーバのアドレスを A.192.168.1.XXXと B.192.168.2.XXXにして、 Bの仮想サーバをAのネットワークに干渉(到達)することなく、 NICから外部に通信することは可能でしょうか? つまり、Bのネットワークからインターネットに接続したいです。 (セグメントが違うのですが、ESXのルーティング設定等で可能でしょうか?)

  • Windows7のネットワーク設定について

    NIC(ネットワークアダプタ)の設定について疑問があります。 NICの数と、ルーターの有無(インターネットワーク接続)との組み合わせで 2つのパターンについてどなたか教えていただけませんか。 PCのNICに入れるIPは全て固定です。 【状況(1)】  NICは1つ。  ネット接続しないローカル限定のLAN。  利用するネットワーク内にルーターが存在しない。 ⇒▼質問:このときのPC側の設定について。  Windows7やWindowsXPのネットワークアダプタ設定時、  デフォルトゲートウェイの入力は不要と考えていますが  それで間違いないのでしょうか。 【状況(2)】  NICは2つ。  ネット接続しないローカル限定のLANにつながるNICと、  ネット接続しているルーターを含むLANにつながるNICがある。  それぞれのIPアドレスの体系は別だが、いずれもクラスC。 ⇒▼質問:このときのPC側の設定について。  Windows7やWindowsXPのネットワークアダプタ設定時、  ネット接続しているNICのみデフォルトゲートウェイやDNSの入力をする。  ネット接続していないNICでは、IPとサブネットマスクの2行のみ入力。  ・・・作業はこれらのみで良いと考えているのですが、  IPアドレスでのルーティングが必要なのか?など、  知識不足で見落としが無いのかが気になっています・・・。 いずれにおいても、まれに、通信が急にとれなくなったり、 IPアドレスが勝手に変わったりすることがあります。 特定のサイトのみで起こっています。 まず知識不足による設定の不備を疑っており、お教えいただけましたら幸いです。 

  • VPN設定(クライアントにグローバルIP)

    次のようなことを実現したいです。 <拠点A> グローバルIPアドレス: 202.XXX.XXX.70 - 202.XXX.XXX.78 プライベートネットワークアドレス: 172.16.10.XXX <拠点B> グローバルIPアドレス: 207.XXX.XXX.50 - 207.XXX.XXX.58 プライベートネットワークアドレス: 172.16.30.XXX 拠点Aと拠点BはVPNで繋がっております。 都合上、拠点Aに202.XXX.XXX.74と固定のグローバルIPアドレスをクライアントに振り、同様に拠点Bにも207.XXX.XXX.55とクライアントに振ってあり、この間をVPNを通して通信する必要がでてきました。 このグローバルIPアドレスを固定に振っているもの同士のVPN接続ができなくて困っています。 VPNは繋がっておりますので、プライベート空間同様の設定をすればグローバルIPアドレスであっても繋がるのではと思ったのですが、うまくいきません、、、 拠点B(客先)からはVPNルーターのグローバルIPアドレスとクライアントに振られている固定のグローバルIPアドレスを情報としてもらっています。 上記以外、拠点B側の設定はまったく分かりません。 拠点A側で行ったこととしては、固定IPのクライアントにNICを2枚挿して、1つをグローバル、1つをプライベートでIP設定しました。 また、ルーティングテーブル中に拠点BのルーターとクライアントのIPへの通信はプライベート側のNICにパケットを転送するように設定しました。 ルーターの設定は、拠点Bからのパケットを固定IPのクライアントに送るようにファイヤーウォールに穴を開けました。 NATやIPマスカレードはグローバルIPをクライアントで持っているため、必要ないと思い設定していません。 トンネルはできていますので、そこへクライアントに固定で振っているグローバルIPが通れば・・・と考えているのですが、、、 行き詰まりました。ご教授頂けたらと思います。 VPNルーター: YAMAHA RTX1500 クライアントOS: WindowsXP

  • ネットワークの設定(ルーター)

    当方ルーターPlanex BLW-HPMM、ファイルサーバー バッファローテラステーションTSTGLのユーザーです テラステーションをFTPファイルサーバーにしてイントラネットの構築を考えていますが ルーターの設定でローカルサーバーの設定、静的ルーティングの設定がわかりません ローカルサーバーの設定でWANポート側、LANポート側のポートの設定を何番にすればいいのか? IPアドレスはどのようなものを入れるのか? 静的ルーティングの設定ではルーテイングネットワークのIPアドレスサブネットマスク、ネクストホップIP、インターフェイスの設定項目をそれぞれどのようにするのかわかる方がいらっしゃったらご教示願えれば幸いです

  • Firewallを導入する意味

    初歩的な質問で恐縮です。 ホームオフィスのような環境で個人で仕事を始めた友人にFirewall導入の要否を質問されたのですが、、Firewallを導入する意味がよくわからなくなってきました。 例えば、個人宅でインターネット契約する時にISPから提供されるルータでインターネットをしますが、その状態だけでも外からのアタックは防げますよね?ルータがあれば外(WAN側)から内(LAN側)へアクセスはできないはずなので(外ー内のルーティングを設定しない限り)。 となると、Firewallを導入する理由は、 -内←→外へのアクセスでPort制限する -DMZ上に置いたWebサーバを外部に公開する とか、そのような状況のみに必要で上記の友人のような環境では、不要でしょうか? または、Firewallを導入しないでルータだけだと実はLAN内のPCに不正アクセスされる可能性が高いとか、かなり危険なのでしょうか?

  • Portの解放について

    現在試験中のネットワークは 212.23.222.xxx (パブリックアドレス) NTTルータ  →   市販ルータ192.168.0.0/24 → (質問いているPC) 192.168.2.0/24 ↓ 192.168.2.2  ファイアウォール → 172.168.0.1 (LAN) → PC  192.168.10.1 (DMZ) ↓           192.168.10.105   WEBサーバ     で、WEBサーバにAPACHE2を入れてあります。 80番ポートの解放はどのインターフェースもしくはPCのアドレスを解放すればよいのかわからなくななりした。 LANからのPCでは「It works」の表示がでます。 質問をしているPCにドメイン名を入れると192.168.2.1のルータの設定に繋がります。 NTTのルータの設定は: WAN側ポート 開始 - 終了 / プロトコル -> LAN側転送IPアドレス : ポート http(80) / TCP -> 192.168.10.105 http(80) としましたが、外部からの検索ではタイムアウト(504と記憶していますが403かも・・)表示で繋がりません。 ご教示頂ければ幸いです。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する