• 締切済み

NAT(DNAT)運用の際のアクセスログ

グローバルIPアドレスを1個持つルータから、wwwポートだけを内部のwebサーバに(NAT等の方法で)転送してwebサーバを公開したとします。 この際、内部のwebサーバのアクセスログに記録されるIPアドレスは、アクセスした人のIPアドレスになるでしょうか?それともルータのローカルIPアドレスになるでしょうか? 実装や設定によって変わる可能性がある場合は、どの実装や設定によって変わる可能性があるでしょうか? また、ローカルIPアドレスが記録される場合は、ルータのアクセスログとwebサーバのアクセスログをある程度つきあわせる必要があると思いますが、どのようにして実運用の場ではつきあわせているのでしょうか?

みんなの回答

回答No.2

WEBサーバーへのアクセスは特定のポートですか? http(ポート8080)とかhttps(ポート443)など。。。 だとしたらポート指定でnat変換出来ると思いますよ。

shidho
質問者

補足

出来る出来ないで言えば、「出来る」というルータの宣伝とか、設定解説サイトはいっぱいあるのですが、その際Webサーバのアクセスログがどうなるかまでは書いていないサイトが多いので、どの場合にどうなるのかが知りたいのです。 legacy_bp5_20rさんがやっているNAT変換でのWebサーバのログはどうなっていますか?

回答No.1

勤務先で似たような事をやっています。 WEBサイトのログインしたIPなどを記録している DBにはアクセス元のグローバルIPで記録されています。 参考になると良いのですが。。。

shidho
質問者

お礼

ありがとうございます。 どういう方法で(ルータが)転送しているか、もし差し支えなければ教えて頂ければ幸いです。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. その他(ITシステム運用・管理)

関連するQ&A

  • nat越え について

    natルータの内側(ローカル)にサーバがありインターネットからnatルータ内部のサーバにアクセスする場合、「nat越え」という方法をとると思うのですがサーバがダミーのパケットを送信して と参考書に記されてあったのですがipアドレスはどこ宛に送信するんですか? またnat越えという方法をとるとインターネット上の不特定多数の人からnatルータ内のサーバにアクセスアクセスできるのでしょうか? この辺の仕組みがよくわかりません。教えてください

  • ルーターの設定について教えてください。

    ヤマハルーターRTX1000で固定IPアドレス8個をNAT機能を使い プライベートアドレスで運用しています。 外部から内部のサーバーにグローバルアドレスでアクセスするとつながるのですが、 内部から内部のサーバーにグローバルアドレスでアクセスするとつながりません。 内部から内部のサーバーにアクセスするにはプライベートIPでのアクセスしかできません。 現在テストのために下記のような設定にしております。 ip route default gateway 192.168.1.1 ip lan1 address 192.168.2.1/24 ip lan2 address 192.168.1.2/24 ip lan2 nat descriptor 1 nat descriptor type 1 nat nat descriptor address outer 1 192.168.1.10-192.168.1.12 nat descriptor address inner 1 192.168.2.10-192.168.2.12 nat descriptor static 1 1 192.168.1.10=192.168.2.10 1 nat descriptor static 1 2 192.168.1.11=192.168.2.11 1 nat descriptor static 1 3 192.168.1.12=192.168.2.12 1 内部のサーバーにエイリアスのipアドレスを設定するとpingは通るようになりましたが、 telnetなど他の通信はできませんでした。 内部からグローバルアドレスで内部のサーバーに接続するにはどうすればよいでしょうか? よろしくお願いします。

  • 固定IPをNATされている方に質問です。

    よろしくお願い致します。 自分は固定IP4つ保有しており、 192.168.1.1⇔123.123.123.1 ルータ 192.168.1.2⇔123.123.123.2 PC 192.168.1.3⇔123.123.123.3 サーバ のようなNATの設定をしております。 このような状態でPCからサーバのグローバル(123.123.123.3)に アクセスするとログには192.168.1.1からアクセス有りのログが 出ます。 このような時ルータのインターフェースが送信もととなるのは 正しい動きなのでしょうか? また、違うとするとどのIPが送信元となるのでしょうか? (IPマスカーレードなど設定した覚えなし) まったく違う外部サーバにパケットを送るとき元はNATされた グローバルで出るのはわかるのですが、 簡単にいうと、自分の持っているグローバルIPにパケットを送るとき 送信元IPは普通どのIPになるのか。 わかりにくいと思いますがよろしくお願い致します。

  • Red Hat Linux 9 でNATの設定をしたいのですが・・・

    Red Hat Linux 9 でNATの設定をしたいのですが・・・ 具体的に設定方法が分かりません。 ローカルとインターネットすなわちグローバル側 と2枚のネットワークカードを取り付けて、 ローカル側の設定はおそらく合っていると思うのですが(他のパソコンで、サーバーのアドレスにアクセスしたらページがみれた(Apacheを起動しているので))グローバル側の設定は全く分かりません。 ローカルの方でも分からない部分もあります。 ・ブロードキャストアドレス ・NATを設定したサーバーのIPアドレス ・ネットマスク ・ネットワークアドレス の設定が必要だと思うのです・・・。 同じように、ローカル側では、 ・ブロードキャストアドレス  192.168.0.1(→ゲートウェイのことですか?) ・NATを設定したサーバーのIPアドレス 192.168.0.2 ・ネットマスク 255.255.255.0 ・ネットワークアドレス 192.168.0.*(→なんでしょうか?)

  • NAT設定について

    niftyでADSL使用してます。 ルータ機能つきモデムでの接続です。 IPアドレスは自動取得ですが、コマンドプロンプトで確認するとプライベートアドレスが割り振られてます。 NAT設定したいのですが、DNSサーバーのところでプロバイダから与えられたDNSサーバーを入力してくださいと書いてあるのですが、特にDNSサーバーなど与えられていません。 このような場合、NAT設定できませんか?

  • Atermのログについて

    ADSL50M(e)で、ルータAtermWD701CV(K)を使用してインターネット接続しております。 気になるログがあったので教えて欲しいのですが、『NAT TX-INFO TCP Synchronize Flag OFF ~』というログが頻繁に出ていて困っています。 インターネット等で調べてみたら、外部からポートスキャンされている可能性のあるログだということがわかったのですが、わたしの場合、送信元のIPアドレスの部分が、ローカルIPつまり内側から送信されているようなのです。ちなみにそのローカルIPの機器は無線のルータです。 タイミングとしては、Atermを再起動したり、IPアドレスを手動で再取得した際に、一連のPPPの処理が終わったあと、必ずこのログが記録されます。 以下のようなログが20個ぐらい並びます。 2007/05/28 06:16:12 NAT TX-INFO TCP Synchronize Flag OFF : TCP 192.168.0.30 : 1441 > 68.90.63.92 : 38829 (IP-PORT=6) 2007/05/28 06:16:14 NAT TX-INFO TCP Synchronize Flag OFF : TCP 192.168.0.30 : 1455 > 71.76.203.153 : 6348 (IP-PORT=6) 2007/05/28 06:16:15 NAT TX-INFO TCP Synchronize Flag OFF : TCP 192.168.0.30 : 1449 > 201.95.43.38 : 43703 (IP-PORT=6) 詳細をご存知の方、ご教授願います。

  • NATの外から侵入できますか?

    会社でブロードバンドルータでインターネットに繋がっているIPアドレスをNATでローカルアドレスに変換して、社内で使っています。 社員の中には、「インターネットに繋がっていると、外から中に侵入されて、ファイルにアクセスされると恐がっている人もいます。 NATでIPアドレス変換していても、侵入されることってありますか?

  • NATなどについての質問

    プロキシは内部ネットワークに接続されているクライアントから外部のサーバに接続するときに代理で接続を行いますがNATやIPマスカレードのようにひとつのグローバルアドレスが割り当てられているのでしょうか?もしそうだとしたら(IPマスカレードは複数マシンから同時に接続はでき、NATはできませんが)NATやIPマスカレード、プロキシはお互いに機能は同じものなんじゃ????でも, プロキシは外部からクライアントへアクセスできない利点があるのかな?(プロキシは明示的に設定する必要がありますが) 詳細お願いします。。。。 勉強不足ですみません><

  • NATについて

    現在ネットワークスペシャリストの試験にむけ勉強中です。 NATについて「プライベートIPアドレスとグローバルIPアドレスを相互に変換し付け替える」ぐらいの認識でした。 でも見方を変えると、例えばルーターにNAT機能があるとして、 「ルーター自身のWAN側のグローバルIPアドレスと、プライベートIPアドレスとを変換している」ともとれるのでしょうか? うまく説明できませんが、 natの変換テーブルが プライベートIPアドレスa.a.a.a <-> グローバルIPアドレスX.X.X.X とした場合、 グローバルIPアドレスX.X.X.X はルーター自身のWAN側のグローバルIPアドレスなのでしょうか。 それと、上記が当たっているなら、 プライベートIPアドレスa.a.a.a <-> グローバルIPアドレスX.X.X.X プライベートIPアドレスa.a.a.b <-> グローバルIPアドレスX.X.X.Y プライベートIPアドレスa.a.a.c <-> グローバルIPアドレスX.X.X.Z と3つのグローバルIPアドレスを持っていた場合、 ルーターには3つのグローバルIPアドレスX.X.X.X、X.X.X.Y、X.X.X.Zが付与されていると見ることができるのでしょうか? それともう一つ、 最初のNATテーブルの場合は1つで次のテーブルの場合は3つグローバルIPアドレス付与で話しましたが、いずれの場合も実はルーターにルーター自身のNAT変換に使用しない「グローバルIPアドレス」が一つ必要で、最初の場合は最低2つ、次の場合は4つグローバルIPアドレス必要ということなのでしょうか? (WAN側からアクセスするのにはルーターにグローバルIPアドレスが付与されないと駄目なように思うのですが複数のIPアドレスを付ける事ができるのかも不明ではっきりさせたいと思っています。) 説明が下手ですいませんがご教授お願いします。

  • 携帯キャリアのアクセスログについて

    携帯キャリアのアクセスログについて <質問詳細> 携帯において、各キャリア(ドコモやau、SoftBank)提供のサイト(コンテンツ)へ接続した際、 コンテンツ側のWebサーバにどこからきたかの情報がアクセスログとして出力されると思います。 このアクセスログに出力されるIPアドレス※は、実クライアントのIPアドレスとなるのでしょうか? それとも携帯キャリアのProxyサーバ(IPアドレス帯域収容サーバ?)のIPアドレスとなるのでしょうか?  ※ IPアドレスの出力はアクセスログフォーマットの設定値内容にもよるかもしれませんが   Web(AP)サーバはOracleWeblogocサーバを使用しています。    基本的なことかもしれませんが、携帯は移動体(モバイル)のため、IPアドレスは固定でなく、 アクセスする場所によってIPアドレスが変わる(アクセスポイント?、キャリア側の収容サーバ?が変わる)ため、そもそもどの携帯(ブラウザ利用者)からアクセスがきたのかの特定はできないと考えて良いでしょうか? <補足>  ・クライアント(携帯ブラウザ)-コンテンツWebAPサーバ間のネットワークに依存するかも   しれませんが、当質問では、この間にはロードバランサやファイアウォールでのIP変換等   はないものとし、PROXYはWebAPサーバと同じ(WebAP内)環境下とします。    ・当方でauについて調べたところ以下サイトにこのような記載がありました。   http://www.au.kddi.com/ezfactory/tec/spec/ezsava_ip.html   「EZweb端末は、EZサーバを経由してWebサーバにアクセスします。    その際、Webサーバに対してEZサーバのIPアドレスがリクエスト要求元の    IPアドレスとして通知されます。」   なので、auは実クライアントではないということですかね?   (どこのキャリアも同じ?) 以上、宜しくお願いいたします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する