• ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:ルーターのIPフィルター設定について)

ルーターのIPフィルター設定について

このQ&Aのポイント
  • ルーターのIPフィルター設定の必要性とは?
  • ルーターとFirewallの関係とは?
  • ルーター自体の必要性とは?

質問者が選んだベストアンサー

  • ベストアンサー
  • Elgado
  • ベストアンサー率43% (174/404)
回答No.1

サーバに関してはあまり詳しくないのでインフラ周りで気付いたところを ツラツラと。 回答1) ルータのIPフィルタリングとF/Wのポリシーは別物。役割分担をする事。 IPフィルタリングはせいぜいIPパケットのSrc.Dst.、TCPポート、TOSビットあたり で引っ掛けるだけ。 F/Wポリシーの場合、TCP通信の行きと帰りを区別する。 (TCP/ACKがいきなり来ても通らないはず。Src.Dst等がポリシーに穴あけされていても) で、やりたい要件にもよるが、どちらかの機能で十分だと考えられる。 回答2) このような単純な構成でNetscreen25であれば全くオーバスペック、負荷分散と 言うほどでもない。 仰る通りNetscreenににPPPoEとNATがあるのでルータは要らない。 もっと言うとモデムも要らない(もちろん設定は追加が必要) この構成で全体のスループットのボトルネックはWAN回線なので拠点側を いくら変えようとも"外部とのスループット"は上がらない。 で、LAN側に公開サーバしかいないのであれば(クライアントPC等)、F/Wで必要最低限の 穴開けだけして設置すれば問題ないはず。

ryukyutaro
質問者

お礼

Elgadoさん、大変参考になります。ありがとうございます。この様な単純な構成の場合は、(マニュアルの記載例がどうあれ)現状はオーバースペックな状態なのですね。了解しました。ちなみに上記の様な配線でいく場合(Firewallにポリシーを適用して運営していく場合)は、送信元のグローバルIPアドレスはRouterでNATされてしまうのですが、Firewall側でも送信元アドレスをきちんと把握できるものなのでしょうか?度々恐れ入りますが宜しくお願い致します。m(__)m

その他の回答 (3)

  • Elgado
  • ベストアンサー率43% (174/404)
回答No.4

補足について 仰るとおり必要ないです。 ルータでIPマスカレードして80番のみサーバに紐付けているとします。 外部の人は結局、ルータのグローバルアドレスに目がけて アクセスしてくるわけですから。 その時の宛先ポート番号を見て80番だったらWebサーバにIPマスカレードします。 それ以外のポートについてはルータへのアクセスになるわけですから、結局、LAN側には行かれません。

ryukyutaro
質問者

お礼

Elgadoさん、コメントありがとうございます。 大変、参考になりました。

ryukyutaro
質問者

補足

そうするとIPマスカレードをするルーターがあれば、外部からの攻撃を想定したFireWallを設置する必要も無くなりますか?それともIPマスカレードをしてるとはいえFireWallを設置して置かないと防げない様な種類の不正なアクセス・攻撃とかがあるのでしょうか?

  • Elgado
  • ベストアンサー率43% (174/404)
回答No.3

>>Firewall側でも送信元アドレスをきちんと把握できるものなのでしょうか? 把握できます。 この構成の場合、ルータで行うNATはLAN→WAN方向のNATだと思います。 WANからの通信はそのまま入ってきます。 WAN→LANのNATをしていたら(考えられませんが)送信元は全てルータのLANアドレスに なります。

ryukyutaro
質問者

お礼

Elgadoさん 重ね重ねありがとうございます。 大変参考になりました。 m(__)m

ryukyutaro
質問者

補足

あれっそうすると、 この配線でRouterにIPマスカレードをかけた時は、WAN→LAN方向のIPパケットは全てRouterで破棄されますよね。(静的IPマスカレード80番を除く)。そうするとRouterにもFirewallにもWAN→LAN方向を意識したIPフィルターは必要が無くなるという事でしょうか・・・。http://www.atmarkit.co.jp/fnetwork/rensai/router03/router01.html

  • Elgado
  • ベストアンサー率43% (174/404)
回答No.2

No1です。 モデムも要らないと書きましたが、キャリアの終端のインターフェースを LAN側の機器で持っていないとダメです。 具体的に言うとNetscreenなのでイーサネットという事です。 光ケーブルで来るならメディコンでイーサネットにしてあげればよいでで。

関連するQ&A

専門家に質問してみよう