• 締切済み

netscreen、アドレス変換

netscreenのアドレス変換機能の(ポリシーベースのNAT)とあり、NAT-srcの必要性は理解できるのですが、NAT-dstがなぜ必要なのか理解できません、宛先アドレスを変換して、どのような時にセキュリティーとして役立っているのでしょうか?

みんなの回答

  • toto0079
  • ベストアンサー率0% (0/0)
回答No.1

公開サーバにプライベートアドレスを使用している場合や、セキュリティ上の理由から公開サーバの実IPアドレスを隠蔽したい場合などに宛先IPアドレスを変換します。

juventus17
質問者

お礼

ありがとうございます!現在NETSCREENを勉強中なのでこれからも色々教えてください。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • NAT変換について

    NAT変換についてご教示願います。 添付ファイルをご参照くださいませ。 1対1NAT ソースNATの場合 192.168.1.1 → 111.111.111.1 が関連付される 1対1NAT DST NATの場合 222.222.222.1→111.111.111.1が関連付けされる ソースNATの場合には、1対1の関係となりますが、DSTNatの場合は、 宛先アドレスが222.222.222.1となっているすべての通信が変換されるということになるのでしょうか? その場合、1対1はアドレス変換という認識があり1対Nをどのように区別しているのかなぁと思いまして。  宜しくお願いいたします。

  • Firewall-1 アドレス変換について

    以前同じような質問がありましたが、Firewall-1のNATアドレス変換についての質問です。(以前の質問は、解決まで至っていませんでした。) お恥ずかしいことに、Firewall-1をあまり理解していないのに運用しています。。。 この度、Firewall-1にて、NAT変換でグローバルIPを設定し、外部公開したいと思っているのですが、うまく外からつながりません。昔同じような設定をした際は、ARPの設定をしたような気がしますが、定かではありません。。。 どなたか、設定のヒントを教えて頂けないでしょうか? ちなみに、DMZの内側からは正常にグローバルIPで接続出来ます。 NAT変換は出来ていると思うのですが、何かチェックポイントはありますでしょうか?

  • Firewall-1のアドレス変換について

    現在、Firewall-1 Ver4.1の設定で悩んでいます。 DMZセグメントにプライベートアドレスを付与したサーバを設置し、グローバルアドレスのNAT変換を使用して、外部に公開したいと思っています。オブジェクトの設定でスタティックなNATの設定をしましたが、インターネットからアクセスできません。サーバでsnoopしてみてもパケットがサーバまで届いていないようです。 Firewall-1 ver3.0のWindows版では、たしかオブジェクトにNATの設定をするだけではだめで、ARP解決用のファイルを作る必要があったかと思うのですが、Ver4.1でも、ARP用に何か設定は必要なのでしょうか? 以上、ご教授ください。

  • DNSでポート変換はできないのでしょうか?

    自前のDNSサーバーを設置した場合、ホスト名→IPアドレス:ポート番号と変換したいのですが。 sv1.example.jp → 210.100.20.10:10001 sv2.example.jp → 210.100.20.10:10002 sv3.example.jp → 210.100.20.10:10003 このように、サブドメインの名前問い合わせに対して、IPアドレスと、あて先ポートを返す用に出来ないのでしょうか? ※ルーターのNAT,NATeなどの機能ではなくDNSの正引き名前解決時にポート番号を変換したいのです。 よろしくお願いいたします。

  • netscreen remoteに関して

    現在下記の環境でクライアントから netscreen remoteでVPN接続を試みています。 PC-A---SSG---network---router--PC-B(NSremote) SSGのコンフィグは以下のとおり ------------------------- --略-- unset interface vlan1 ip set interface trust ip 10.90.10.1/24 set interface trust nat set interface untrust ip 125.173.97.165/32 set interface untrust nat unset interface vlan1 bypass-others-ipsec unset interface vlan1 bypass-non-ip set interface trust ip manageable set interface untrust ip manageable set interface untrust manage ping set interface untrust vip untrust --略-- set interface trust dip 4 10.90.10.100 10.90.10.110 set flow tcp-mss 1392 set flow all-tcp-mss 1304 set hostname ns5gt --略-- set address "Trust" "10.90.10.0/24" 10.90.10.0 255.255.255.0 set address "Trust" "172.31.0.0/16" 172.31.0.0 255.255.0.0 set address "Untrust" "210.154.78.16/29" 210.154.78.16 255.255.255.248 set address "Untrust" "test" 172.16.1.0 255.255.255.0 set ike gateway "gateway for remote" address 124.96.176.211 Main outgoing-interface "untrust" preshare "key==" proposal "pre-g2-3des-sha" set ike gateway "gateway for remote" nat-traversal set ike gateway "gateway for remote" nat-traversal udp-checksum set ike gateway "gateway for remote" nat-traversal keepalive-frequency 100 set ike respond-bad-spi 1 set vpn "vpn for remote" gateway "gateway for remote" replay tunnel idletime 0 proposal "g2-esp-3des-sha" set pki authority default scep mode "auto" set pki x509 default cert-path partial set policy id 1 from "Trust" to "Untrust" "Any" "Any" "ANY" permit set policy id 2 from "Trust" to "Trust" "Any" "Any" "ANY" permit log set policy id 3 from "Untrust" to "Trust" "Any" "10.90.10.0/24" "ANY" nat src dip-id 4 tunnel vpn "vpn for remote" id 3 log set policy id 4 from "Untrust" to "Trust" "Any" "Any" "ANY" deny log set vpn "vpn for remote" proxy-id local-ip 10.90.10.0/24 remote-ip 124.96.176.211/32 "ANY" set pppoe name "untrust" set pppoe name "untrust" username "usrname" password "password" set pppoe name "untrust" interface untrust set global-pro policy-manager primary outgoing-interface untrust set global-pro policy-manager secondary outgoing-interface untrust set ssh version v2 set config lock timeout 5 set modem speed 115200 set modem retry 3 set modem interval 10 set modem idle-time 10 set snmp port listen 161 set snmp port trap 162 set vrouter "untrust-vr" exit set vrouter "trust-vr" unset add-default-route set route 10.229.184.0/22 interface trust gateway 10.90.10.2 exit ----------------------- PC-Bにダイレクトにアドレスを付与した場合はVPNがつながる のですが、ルータを経由したとたんにつながりません。 SSGのイベントログをみると ----------------------- Rejected an IKE packet on untrust from 124.96.176.211:60001 to 125.173.97.165:500 with cookies 051edfeb92c884dc and 318e4d73fb325f29 because Phase-1: no user configuration was found for the received IKE ID type: IP Address,1. ----------------------- となりVPNがはれません。 原因はどこにあるのでしょうか? よろしくお願いします。

  • 動的グローバルアドレスを割り振られたNAT変換について

    はじめまして 行き詰まってしまったので質問させて下さい。 先日シスコルーターのCISCO1720・IOS12.3を購入し、 自宅で2台のPCをHUBからルーターへ繋げてIPマスカレード(PAT)を実装させたいと考えています。 現在はヤフーのADSLでインターネットに接続しているのですがヤフーから割り振られるグローバルアドレスが動的なので、どのようにシスコルーターのWAN側の設定を行ってよいのか分りません。 ネットワークの参考書などを開いて自分なりに調べているのですが、どれも固定グローバルアドレス時の設定方法で書かれてあり動的グローバルアドレス時のNAT変換については理解できませんでした。 もしかするとシスコルーターのWAN側をDHCPにすればよいのでしょうか? でも、具体的な設定方法がよく分りません・・・・・・・・ スキル不足な自分にご存知の方があれば教えて下さい、よろしくお願いします。

  • strcpy関数について(\0のコピー)

    '\0'のsrcからdstへのコピーについて考えて見たのですが、 char *strcpy(char *dst,const char *src) { int i=0; for(i=0;src[i]!='\0';i++) dst[i]=src[i]; dst[i]=src[i];←1 return dest; } このプログラムではfor文の真偽値の判定の段階では'\0'がsrcからdstにコピーできていないので1のdst[i]=src[i]でコピーする必要がありますが、以下のようにプログラムを変更すると char *strcpy(char *dst,const char *src) { int i=0; for(i=0;(dst[i]=src[i])!='\0';i++) ; return dest; } (dst[i]=src[i)の代入式の段階でsrcからdstにコピーしその後でfor文の真偽値の判定をするので、真偽値判定前にdst側配列に'\0'が入っていると言う考えでこのプログラムを理解して良いのでしょうか。なにかミスしそうなプログラムですが、考え方として、私の言っている事は正しいでしょうか。宜しく回答願います。

  • 家庭用ブロードバンドルータと企業用ルータの違い

    こんばんは。表題に記載したとおり、家庭用ブロードバンドルータとFW機能のついた企業用ルータ(Netscreenなど)のセキュリティ面における性能の違いを教えて頂きたく質問させて頂きました。 家庭用のブロードバンドルータでも、ステートフルパケットインスペクション機能・パケットフィルタリング機能のついた物があると思います。それらと比較した時に、セキュリティ上Netscreenの方が有利となる理由はなんでしょうか。 (ルータにそういう機能がついているのならば、FWを導入する必要はないと思うのですが、私の思い違いでしょうか。) どなたが、ご教示頂けると嬉しいです。

  • NATルータの仕組みについて質問です。

    NATルータの仕組みについて質問です。 NATルータでは、NAT変換テーブルというのを用いて、プライベートアドレスとグローバルアドレスを変換していると本で読んだのですが、NAT変換テーブルは、送信したときにルータで変換対を作り、受信時にその変換対を用いてグローバルアドレスをプライベートアドレスに変換しているんですよね? なら、NAT変換テーブルができていない変換対の送り先にパケットを送ろうと思った場合、ルータでは、どのプライベートアドレスに変換したらよいかわからなくなってしまうんではないでしょうか? 実際の仕組みはどうなっているかわかる方、宜しくお願いします。

  • なぜMACアドレスだけでなく、IPアドレスが必要なのか

    現在ネットワークについて勉強しております。 ・MACアドレスはNICに固定で、隣接区間でのデータリンク通信に必要。 ・IPアドレスはネットワークを越える、エンドツーエンドでのあて先・送信元指定に必要。 という点は理解しております。 ネットワーク超えの通信においても、ホストを特定するための要素はMACアドレスだけで十分では?という疑問が生じました。 上記のエンドツーエンドでのあて先・送信元指定にもMACアドレスを用いる事はできるはずです。 (IPパケットの中に最終的な宛先・送信元MACアドレスを書けばいいのでは?) なぜ「IPアドレス」という概念が必要なのでしょうか。 MACアドレスとIPアドレスという、似たような概念をあえて2つ作っている理由を教えてください。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する