• ベストアンサー

DMZで分りません

DMZに公開しているwwwサーバを内部セグメント(LAN)に移動したら、 グローバルipアドレスとプライベートアドレス(LAN)が混在すると混乱するから内部セグメントを「グローバルipアドレス」にしないといけないのでしょうか?そうするとLANは「グローバルipアドレス」でアクセスする事になると思うのですが何かスッキリしません。詳しく教えてくれると助かります。2007年春ソフトウェア開発の完全教本p569の「セキュリティの問題」設問3の(3)です。

質問者が選んだベストアンサー

  • ベストアンサー
  • 774danger
  • ベストアンサー率53% (1010/1877)
回答No.3

> グローバルipアドレスとプライベートアドレス(LAN)が混在すると混乱するから内部セグメントを「グローバルipアドレス」にしないといけないのでしょうか? そんなことになったら自宅サーバ持ってる人たちが大量にグローバルアドレス消費してIPv4アドレス枯渇問題が(ry NATでもリバースプロキシでもプライベートアドレスのWebサーバを外部に公開する方法はいろいろあります

w_kiyo123
質問者

お礼

ありがとうございました。

その他の回答 (2)

  • MotoShin
  • ベストアンサー率33% (4/12)
回答No.2

「グローバルIPにしなければならない」というよりは、「ネットワークアドレス部を統一しなければならない」という理由でどちらかにネットワークアドレスを合わせなければならないのではないでしょうか?? 質問からwwwサーバはグローバルIPなので、プライベートIPに合わせるとファイヤーウォールのNATを利用しなければなりません(それはゆるされていないのでしょうか?)で、グローバルIPにアドレス部を合わせたのかな? 見当違いの回答でしたらすいません。

w_kiyo123
質問者

お礼

ありがとうございました。

  • manathi
  • ベストアンサー率22% (22/100)
回答No.1

補足要求です。 ご質問の意味がどうも伝わらないので、質問の前提になる問題があるのでしたら、公開していただけると回答しやすいです。 そっくりは丸写しはいけないかもしれませんが、問題の主旨だけでも書いていただけますか。

w_kiyo123
質問者

お礼

ありがとうございました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • 外向け(DMZ)・内向けの名前解決について

    現在、ルータを2台接続し、 バリアセグメント(DMZ)とLAN側とネットワーク帯に分けています。 それぞれのネットワーク帯の名前解決はできており、 それぞれのネットワーク対からインターネットを閲覧できることも確認しています。 また、バリアセグメント(DMZ)内サーバからバリアセグメント(DMZ)内設置の公開webサーバを閲覧できることも確認できております。 ここで、疑問にもっておりますのは、 LAN側内設置のクライアントから バリアセグメント(DMZ)内設置の公開webサーバを閲覧することなのですが、どのように設定すればよろしいのでしょうか? IPaddressを直打ちすれば閲覧できることは確認しています。 よろしくお願いします。

  • cisco ASA5510でDMZ

    NATの設定?で困っています。 WAN-----ASA-----LAN          | DMZ--サーバ(グローバルIPとプライベートIP有り) *グローバルIPはISPから固定で貰ったものです。 上記構成で、LAN側からDMZのプライベートIPではアクセスできるのですが、グローバルIPではアクセスできません。 DMZ=WAN(outside) LAN(inside)=WAN(outside) でnat設定してあり、発見しました。 LAN(inside)=DMZ を追加したのですが、上手くいきません。 宜しくお願いします。

  • cisco ASA5510でDMZ

    NATの設定?で困っています。 WAN-----ASA-----LAN          |         DMZ--サーバ(グローバルIPとプライベートIP有り) *グローバルIPはISPから固定で貰ったものです。 上記構成で、LAN側からDMZのプライベートIPではアクセスできるのですが、グローバルIPではアクセスできません。 DMZ=WAN(outside) LAN(inside)=WAN(outside) でnat設定してあり、発見しました。 LAN(inside)=DMZ を追加したのですが、上手くいきません。 宜しくお願いします。

  • DMZ(非武装地帯)のことで

    企業などのネットワークで、セキュリティ対策のために "DMZ(非武装地帯)" というのが設けられることが多いようですが、 この用語の関係でおたずねします。 ---- DMZ については、用語辞典などから、 『インターネット側からの不正な攻撃から守るため、 ファイアウォールの内側に設けたセグメントで、 そこには公開サーバが置かれており、 それらは「内部ネットワーク」とは別になっていて、・・・』 というようなことは、それなりに分かったんですが、 ◎「ファイアウォールの内側のセグメント」ということなら 一応は"武装"されているんじゃないんだろうか、 どうして非武装(DeMilitarized)と呼ばれるんだろうか、 と思ったりもするんですが、 この辺はどのように理解しておけばいいんでしょうか? ◎「内部ネットワーク」とは別に、という点ですが、 どういう方法を使って別にしているんでしょうか? で、それにより、 「内部ネットワーク」の方ではより高度のセキュリティが、 というようなことでしょうか? --

  • DMZ内のサーバー間で

    FireWallのDMZ内にLinuxサーバが数台あります。いわゆるNATでアドレス変換する形で設置しており、各Linuxはプライベートのアドレスを割り振っています。 サーバ間でtelnetなどする時はプライベートのIPアドレスでアクセスするのが普通でしょうが、動作させているプログラムの関係でグローバルの方でもアクセスできるようにしたい場合、どうやって解決するのが一般的でしょうか? 現在はグローバルIPでtelnetなどしますとサーバに届かずタイムアウトになります。 DMZ内にはDNSもありnslookupで逆引きはできますけれども結局戻ってくるアドレスはグローバルIPなのでやはりアクセスできません。

  • DMZの構築方法、DMZとLANの関係について

    Bフレッツの固定IP8個割り当ての契約をしています。 ブロードバンドルータ(Allied Tlesis AR450S)を使い、DMZ環境を構築したいのですが、うまく行かず困っています。 目的は、全てのサーバをLAN上で運用している現状に対し、(1)WebサーバをDMZに配置し、インターネットからの問い合わせに対し、LAN内に配置した(2)DBサーバから結果を返すというものです。 また、LAN内には(3)FTPサーバを残し、これまで同様に外部からアクセスできるようにします。 (サーバをLAN内に置くのが良いかどうか、セキュリティ上正しい選択なのか分かりません・・・) (質問その1) DMZに配置するサーバは、グローバルIPアドレスを直接割り当てて運用するものだと思っていたのですが、配置するにはプライベートIPアドレスも必要なのでしょうか? (質問その2) DMZに配置したサーバとLAN内に配置されたPCとでは、通常のネットワーク接続(LAN上にあるPC同士がフォルダを共有するようなこと)が可能なのでしょうか?また可能であればどのような方法があるでしょうか? (質問その3) 廉価なブロードバンドルータが1台余っており、ルータを2台使って、中間層をDMZとする方法もあると聞きました。具体的にはどうすればよいのでしょうか? (質問その4) グローバルIPアドレスのうち、2つをDMZ用に、残りをLAN内のPCの外部アクセス用に、・・・などというような使い分けはできるのでしょうか? 上記AR450Sのマニュアルの設定例では全てのアドレスをDMZ化し、その1つを外に出るために共有する方法が載っていました。 なにぶん、独学でネットワークを勉強しているので、聞ける人が周りにいません・・・。 ネットワークに明るい方がいらっしゃいましたら、部分的にでも結構です。ご教授願います。 具体的な例を入れて頂けると助かります。 よろしくお願いします。

  • Juniper SSG5でのDMZ構成

    JuniperSSG5で、0/1 を オフィスLAN側デフォルトゲートウェイ、0/2をDMZとして構築してある環境があります。 オフィスLAN側からDMZへのアクセス時は、SSG5のNAT機能でIPアドレスが変換されDMZのLAN側IPアドレスとしてDMZ内のアプリケーションに接続されています。 そのため、アプリケーションからは接続元がすべてひとつのIPアドレスになり、LAN側のホストを認識できる状態ではありません。 今回、特定のLAN内のホストのみ、DMZにアクセスするときに個別のIPアドレスを持たせたい(アプリでホストを特定したい)のですが、そのときにはどのような構成が考えられるのでしょうか。 ヒントになるキーワードだけでもけっこうですので、何か情報をいただければ助かります。

  • 【ネットワークの非武装地帯のDMZ、demilit

    【ネットワークの非武装地帯のDMZ、demilitarized zone(デミリタライズド・ゾーン)はリバースプロキシと同義ですか?】 外部ウェブサイトからの投稿フォームがDMZを通過するとIPアドレスがグローバルIPアドレスからプライベートIPアドレスになるのですか?

  • DMZ内のサーバに残るアクセス元IPアドレスについて

    DMZ内のサーバに残るアクセス元IPアドレスについて 現在、JuniperのSSG5-ISDNを使用して、インターネットからアクセスできないLAN、インターネットからアクセスできるDMZを分けております。 で、インターネットからDMZにアクセスすると、アクセスもとのグローバルアドレスがアクセスログとして残りますが、LANからDMZにアクセスするとルーターのDMZポートのIPアドレスが出ます。 たぶんNATの役割を果たしているんだと思いますが・・・。 これを、インターネット→DMZのようにLAN→DMZもマスカレードされないようにすることはできますでしょうか。

  • Postfixのmynetworksのアドレス

    教えてください。 以下のようなメール環境を構築しなければならないです。 http://postfix.robata.org/ouyou.html を参考にさせていただきました。 INTERNET ー ROUTER ー FW ー DMZ内 SMTP ー LAN 内 SMTP&POP FWでNATをします。 外部からのメールは、DMZのSMTP(postfix)で受信し、 LAN内のSMTP(postfix)に、ドメイン宛のメールを内部転送します。 内部から外部へのメールはLAN内のSMTP(postfix)からFWを通って直接外部ヘ送ります。 3点気になっていることがあります。 1点目は、DMZ内 SMTPのmynetworksには、DMZのネットワークアドレスだけ指定すればいいのでしょうか? NAT前のグローバルIPのネットワークアドレスは書かなくていいのでしょうか? 2点目は、LAN 内 SMTPに書くmynetworksには同じくLANのネットワークアドレスだけでいいでしょうか。 送信するLANのクライアントがSMTPとは違うセグメントにある場合(ルーティングされてくるセグメント)は、 その送信元のセグメントのアドレスも含めれば良いでしょうか? NAT環境で特に必ず設定しなければならないものがありましたら教えていただけないでしょうか。 よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する