• ベストアンサー

ファイアウォールのNAT設定について

JuniperのNetScreen-5GTを利用しています。 以下の状態を実現したいのですが、お知恵を貸していただけませんでしょうか。 ・ 複数の外部URLと複数の内部サーバをNAT変換で結びつける (URLと内部サーバは1:1対応) ・ 用意するグローバルIPは1つ ・ ユーザが入力するURLにポート番号はつけさせたくない グローバルIPは1つで、www.service1.jpにアクセスした場合は内部サーバ1を表示、www.service2.netにアクセスした場合は内部サーバ2を表示といった具合です。 グローバルIPを増やすとか、URLにポート番号を付けるなど条件を崩せば可能なことはわかるのですが、この条件だとどのような設定になるのかわかりません。 どなたかわかる方、教えていただけませんでしょうか。 NetScreen-5GTに限らず、概念的な説明や、キーワードのご提示でも構いません。宜しくお願い致します。

質問者が選んだベストアンサー

  • ベストアンサー
  • pakuti
  • ベストアンサー率50% (317/631)
回答No.3

http://squid.robata.org/ReverseProxy_top.html 上記URLを参照して下さい。 公開するグローバルIPへの80ポートへのアクセスを Reverse-Proxy(上記の場合はsquid)に転送(NAT変換)し squid側では、visible_hostname ディレクティブで アクセス時のURLで、割り振る内部Webサーバを判別し転送します

usa920
質問者

お礼

URLまで教えていただきありがとうございます。 教えていただいた方法で試してみたいと思います。

その他の回答 (2)

  • DIooggooID
  • ベストアンサー率27% (1730/6405)
回答No.2

> グローバルIPは1つで、www.service1.jpにアクセスした場合は内部サーバ1を表示、www.service2.netにアクセスした場合は内部サーバ2を表示といった具合です。  この時点で、矛盾しています。  アドレスを指定する場合には、www.service1.jp や www.service2.net のように URL を指定するとしても、実際にアクセスする際には、DNS にて、これらのURLを実際のIPアドレスに変換します。  グローバルIPを1つしか用意できないのであれば、www.service1.jp も www.service2.net も同じ IPにアクセスすることになり、受け側で区別することができません。

usa920
質問者

お礼

ご回答ありがとうございます。 そうですよね。受け側でどうやって判断するのかがわからず、アクセスURLとかで振り分けられるのかとか色々考えてました。でも仰る通りIPレベルじゃ無理ですよね。。。 明らかにPC1台ではさばけなそうな複数のサービスが、それぞれ同一のIPを指しているのを見たことがありまして、同じようなことをやりたいと思った次第です。ファイアウォールの設定と早合点したのは私の誤りでした。 別の方法で構いませんので、もし方法をご存知でしたら教えてください。

  • pakuti
  • ベストアンサー率50% (317/631)
回答No.1

普通にNATじゃ無理ですよ。 NATはIP変換ですので 方法としては、Peverse-ProxyかLoad-Barancerでしょう。

usa920
質問者

お礼

ご回答ありがとうございます。 Reverse-Proxyの場合、外部公開サーバの方で、宛先のURLに従って内部に振り分けるようなイメージになるのでしょうか? Reverse-Proxyはあまり使ったことがなく、「宛先のURLに従って」というのが可能なのかどうかわからないのですが。。。 Load-Barancerは使ったことがないので、他に方法がないとなれば調べてみます。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • 静的NATの設定について

    NEC Aterm 202を使用しています。ポートの開放を行う為に静的NATを設定しようとすると「複数固定IPサービス無効時は静的NAT設定はご使用になれません」と出てきて設定できません。どうすれば複数固定IPサービスを有効にできますか?お詳しい方教えて下さい。宜しくお願い致します。

    • ベストアンサー
    • ADSL
  • nat越え について

    natルータの内側(ローカル)にサーバがありインターネットからnatルータ内部のサーバにアクセスする場合、「nat越え」という方法をとると思うのですがサーバがダミーのパケットを送信して と参考書に記されてあったのですがipアドレスはどこ宛に送信するんですか? またnat越えという方法をとるとインターネット上の不特定多数の人からnatルータ内のサーバにアクセスアクセスできるのでしょうか? この辺の仕組みがよくわかりません。教えてください

  • 動的NATとIPマスカレードの違い

    動的NATもIPマスカレードも同時に複数台のパソコンをインターネットに接続できる技術ですが、 いったい両者はどこが違うのでしょうか? IPマスカレードはポート番号によって内部ネットワークのパソコンを特定するとサイトに掲載されていましたが、動的NATの場合はどうなのでしょうか?

  • NATなどについての質問

    プロキシは内部ネットワークに接続されているクライアントから外部のサーバに接続するときに代理で接続を行いますがNATやIPマスカレードのようにひとつのグローバルアドレスが割り当てられているのでしょうか?もしそうだとしたら(IPマスカレードは複数マシンから同時に接続はでき、NATはできませんが)NATやIPマスカレード、プロキシはお互いに機能は同じものなんじゃ????でも, プロキシは外部からクライアントへアクセスできない利点があるのかな?(プロキシは明示的に設定する必要がありますが) 詳細お願いします。。。。 勉強不足ですみません><

  • ルーターの設定について教えてください。

    ヤマハルーターRTX1000で固定IPアドレス8個をNAT機能を使い プライベートアドレスで運用しています。 外部から内部のサーバーにグローバルアドレスでアクセスするとつながるのですが、 内部から内部のサーバーにグローバルアドレスでアクセスするとつながりません。 内部から内部のサーバーにアクセスするにはプライベートIPでのアクセスしかできません。 現在テストのために下記のような設定にしております。 ip route default gateway 192.168.1.1 ip lan1 address 192.168.2.1/24 ip lan2 address 192.168.1.2/24 ip lan2 nat descriptor 1 nat descriptor type 1 nat nat descriptor address outer 1 192.168.1.10-192.168.1.12 nat descriptor address inner 1 192.168.2.10-192.168.2.12 nat descriptor static 1 1 192.168.1.10=192.168.2.10 1 nat descriptor static 1 2 192.168.1.11=192.168.2.11 1 nat descriptor static 1 3 192.168.1.12=192.168.2.12 1 内部のサーバーにエイリアスのipアドレスを設定するとpingは通るようになりましたが、 telnetなど他の通信はできませんでした。 内部からグローバルアドレスで内部のサーバーに接続するにはどうすればよいでしょうか? よろしくお願いします。

  • PAT(NAPT)の動作について

    ネットワークの書籍を読むと 内部PCから外部へアクセスする際、送信元IPとポート番号がルーターのNATテーブルに保持され その変換テーブルを元にして、PATにおけるIPとポートの変換が実現されるとあるのですが いくつか疑問がありましたので質問させてください (1)内部ネットワーク側から通信を開始したなら問題なく通信出来ると思いますが 外部サーバーから始まる通信だとNATテーブルに情報がないためプライベートIPとポートに変換出来ないのではないでしょうか? その場合は、どういう技術や対象方法があるのでしょうか? (2)例えば複数の内部PCからPATで外部へアクセスする場合 内部PCのポート番号は65535までのポートをランダムに使用することになると思います。 しかし、もし内部PCが使用するポートが重複してしまった場合はアクセス不能になってしまわないのですか? つまり、外部サーバーから見ると、10.0.1.1:65535、10:0.1.1:65534のようにポート番号だけ変えてアクセスしてくるわけですし、もしポート番号が重複してしまうと変換出来ないと思います。 ポート番号はそれぞれのPCが独自に設定するものなので重複することもありえると思うのですがどのように処理されているのでしょうか?

  • NetScreenの初期設定について

    NetScreen-5GTを購入し、初期設定をしてみたのですが、うまくいきません。 [構成] NetScreenーデスクトップパソコン のみです。最初は192.168.1.1から設定画面にアクセスし、設定ができたのですが、NetScreenをDHCPサーバとし、レンジを192.168.1.2から192.168.1.255とし、Trustポートの設定は普通に192.168.1.1にしました。 その後、デスクトップPCのほうには全くIPアドレスが割り当てられなくなり、頓挫しております。何かよい方法がありましたら、教えていただきたく思います。 乱文失礼致しました。

  • スタティックNATとNATオーバーロード

    スタティックNATとNATオーバーロード(IPマスカレード)の使い分けについて教えてください。 先輩から、スタティックNATはWebサービスで、NATオーバーロードは社内組織とインターネットを繋ぐ用途で使うと教えてもらいました。 しかし、「Webサービス」といってもSNS基盤やゲーム配信基盤などではサーバを100台以上フル稼働させており、インターネットに対しては代表のアドレスを一つだけ見せているという仕組みになっていたと思います。 となるとSNS基盤やゲーム配信基盤などでは、1つのグローバルアドレスに1つのプライベートアドレスしか紐づけられないスタティックNATは使えず、複数のプライベートアドレスが紐づけられるNATオーバーロードを使わないといけなると思うのですが、どうでしょうか?

  • NAT(DNAT)運用の際のアクセスログ

    グローバルIPアドレスを1個持つルータから、wwwポートだけを内部のwebサーバに(NAT等の方法で)転送してwebサーバを公開したとします。 この際、内部のwebサーバのアクセスログに記録されるIPアドレスは、アクセスした人のIPアドレスになるでしょうか?それともルータのローカルIPアドレスになるでしょうか? 実装や設定によって変わる可能性がある場合は、どの実装や設定によって変わる可能性があるでしょうか? また、ローカルIPアドレスが記録される場合は、ルータのアクセスログとwebサーバのアクセスログをある程度つきあわせる必要があると思いますが、どのようにして実運用の場ではつきあわせているのでしょうか?

  • ラージスケールNATについての質問

    「『ラージスケールNAT』が採用された際には、 ポートの残数が問題になるだろう。」 という内容の記事を某月刊誌で学ばせて頂けました。 但し、素人の私には其処の文面からでは分からなかった箇所が御座いましたので、其の情報が新鮮な内に学ばせて戴きたいものですから、下記の疑問への答えを教えて下さい。 「内部ローカルエリアでのNAPT処理の後に、 『ラージスケールNAT』経由でサーバーへのアクセスが行なわれる、 という状況の下では、2つの『送信元』エフェメラルポート番号が各パケットへ付けられるのでしょうか?」

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する