DMZのwebサーバがLANから閲覧できない
DMZにサーバをのせようとしていますが、
うまくいきません。
どなたかアドバイスをお願いいたします。
[現象]
DMZにwebサーバをのせました。
外部からはテストページの表示ができるのですが、
社内LANからテストページの表示ができません。
[環境]
サーバOS :centos5.2
/etc/sysconfig/network-scripting/ifcfg-eth0 には、
gatewayの設定はしていますせん。
(ネットワーク管理者に不要だといわれたため)
サーバは、
ファイアウォール・VPN・リモートアクセスなど
ゲートウェイ機能搭載の中小規模オフィス向けネットワークサーバーを経由して、
外部、LANそれぞれと通信します。
[確認した事項]
下記の内容を、サーバのファイアウォールをはずして検証してみました。
ネットワークサーバのログは見られません。
(1)外部からアクセスしたとき
・pingは通る
・webテストページの表示ができる
・ネットワークサーバーのログは正常に通信していると残っている。
(ヘルプデスクに確認)
(2)社内LANからアクセスしたとき
・pingが通らない
・webテストページの表示ができない
・ネットワークサーバーのログによると、DMZのサーバへ要求は投げているが、
DMZのサーバからの戻りはない。
(ヘルプデスクに確認)
サーバのログは以下のとおりです。
・正常なやりとりのログ
[root@iserver ~]# tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
21:31:46.754868 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 57592, seq 0, length 64
21:32:26.871001 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 57592, seq 0, length 64
21:31:46.870377 IP (問題のサーバのドメイン名).44291 > (LAN内のDNSのIP).domain: 41736+ PTR? (問題のサーバのIPを逆から表示したもの).in-addr.arpa. (45)
21:31:47.765841 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 48562, seq 1, length 64
21:31:47.765858 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 48562, seq 1, length 64
21:31:48.775690 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 52530, seq 2, length 64
21:31:48.775707 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 52530, seq 2, length 64
21:31:49.786146 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 15423, seq 3, length 64
21:31:49.786161 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 15423, seq 3, length 64
21:31:50.796110 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 15768, seq 4, length 64
21:31:50.796124 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 15768, seq 4, length 64
・LANからの異常なやりとりのログ
21:35:04.456219 arp who-has (問題のサーバのIP) tell (社内のIPと思われるもの-2)
21:35:04.456241 arp reply (問題のサーバのIP) is-at (MACアドレス2)(oui Unknown)
21:35:04.456374 IP (問題のサーバのドメイン名).48609 > (LAN内のDNSのIP).domain: 42979+ PTR? (社内のIPと思われるもの-2を逆から表示したもの).in-addr.arpa. (45)
21:35:04.456493 IP (PINGを実行したLAN内マシンのIP) > (問題のサーバのIP): ICMP echo request, id 512, seq 513, length 40
21:35:04.456787 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)
21:35:05.456851 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)
21:35:06.456914 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)
21:35:09.453100 arp who-has (LAN内のDNSのIP) tell (問題のサーバのドメイン名)
21:35:09.453151 IP (問題のサーバのドメイン名).45524 > (DNSのIP).domain: 42979+ PTR? (社内のIPと思われるもの-2を逆から表示したもの).in-addr.arpa. (45)
21:35:09.453401 arp reply (LAN内のDNSのIP) is-at (MACアドレス) (oui Unknown)
21:35:09.961830 IP (PINGを実行したLAN内マシンのIP) > (問題のサーバのIP): ICMP echo request, id 512, seq 769, length 40
21:35:09.965131 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)
21:35:10.965194 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)
21:35:11.965256 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)
お礼
ありがとうございます。参考にさせて頂きます。 AR450Sのマニュアルに載っているDMZの構築方法では、DMZ内のサーバはグローバルアドレスで運用するという表現になっているんです、、、(これが混乱の元になっています) あとは、ネットで調べたところ「NBTを使うと、サーバが乗っ取られた場合にLAN内のPCにアクセスしやすくなる」ので、「NetBEUI」がいいとも書かれていました。XPでは標準でインストールされていないようですが、この辺も探ってみようと思います。