• ベストアンサー
  • すぐに回答を!

Redhat7.3でDMZ構築

Redhat7.3を使用して、以下のようにNIC3枚でDMZを構築しようとしています。 WAN  | Linux -WWW(DMZ)  | LAN 仮に以下のようにIPを設定します。 ・WAN側ネットワーク 172.31.0.0/24 ・eth0(LAN) 192.168.1.1 ・eth1(WAN) 172.31.1.10 ・eth2(DMZ) 172.31.1.11 ・WWW(DMZ内に設置) 172.31.1.12 このとき、以下のような状態になってしまいます。 ・WAN側からWWWにアクセスできない。(pingが通らない) ・WAN側からeth1,eth2へはpingが通る。 ・LinuxからWWWへはpingが通る。 WAN側からWWWにアクセスできるようにするには、どのような設定をすべきでしょうか? 上記の構成以外にも、DMZ側とWAN側が同一セグメントになるような設定があれば、そちらも検討したいので、ご教授願います。

noname#201283
noname#201283

共感・応援の気持ちを伝えよう!

  • 回答数10
  • 閲覧数536
  • ありがとう数3

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.2

> 上記のページのような方法がどのように実現されている > のか気になっているのです。 ( ̄□ ̄;)!!本当だ… でもどう考えても、IPアドレスの無駄遣いとしか思えないのですが…(笑) なんで、こんな設定にしているのか私も理解に苦しみます。 ただ、やり方としてはプライベートアドレスの時と同じような気がします。 1. DNSのwww.hogehoge.comはeth2を指定してやる。 www.hogehoge.com. IN A 172.31.1.11 2. Linuxは、自アドレスへhttpでのアクセスあったとき、WWWサーバーのグローバルIPアドレスへフォーワードする。 Linux→DMZ: outputのtcp,udp,icmpを172.31.1.11から172.31.1.12へaccept DMZ→Linux 同上で流れが逆 3. WWWは全てのポートへのアクセスを禁じ、httpだけを開く。 と言うような【気がします】(^^; でもこれにどんな意味があるのかと言うことは、他の方の回答を期待して下さい(笑)

共感・感謝の気持ちを伝えよう!

その他の回答 (9)

  • 回答No.10

ちょっと気になったものでTurboLinux5.0でテストして見ました。 DefaultRouteをeth1 192.168.0.0/24をeth0 172.31.1.12/32をeth2をルーティングを設定したところご質問の内容を実現できましたがRedhatでは不可能なんですかね?基本的な部分は一緒はずなんで出来ると思うんですが・・・ 後ブリッジに対するDHCP割り当ては普通?に設定したところうまくいきませんでした(アドレスを取得してくれません)。設定ミスかも知れないんではっきりとは言えませんが・・・

共感・感謝の気持ちを伝えよう!

質問者からの補足

説明が不足していたようで、申し訳ありません。 ・WAN側からWWWにアクセスできない。(pingが通らない) というのは、WAN側の別のマシンからという意味です。 もっと細かく環境を書くと、以下のようになります。 LinuxA  | router  |  |(WAN側)  | Linux-WWW(DMZ)  | LAN この状態で、LinuxAからWWWへpingが通りませんでした。 いろいろと試したところ、routerに対して、WWW宛のパケットはLinuxのeth1宛に送るという静的経路を追加したところ、pingが通るようになりました。 また、情報をお寄せいただいたとおり、172.31.1.12/32をeth2をルーティングという設定もLinuxに行ないました。 このとき、WWWからLinuxAにpingが通らず、悩んでいたのですが、"ping -n"でやったところ、うまくいきました。DNSサービスが起動していたので、停止したところ、"-n"なしでも通るようになりました。 報告が遅れましたことをお詫びします。 ブリッジのDHCP設定についてはまだ試していません。

  • 回答No.9
noname#41381
noname#41381

すみません、回答ではないです。 とりあえず「DigitalGate」に関して言えば、 以下ページの「ネットワーク構成」では別セグメントになってますね、 http://www.bit-drive.ne.jp/digitalgate/sales/index.html #1補足にかかれているページは記述誤りではないでしょうか? 「設定画面デモ」で設定を見てみましたが、こちらも別のセグメントに設定されてましたし、 それらしい設定項目もありませんでしたし...。

参考URL:
http://www.bit-drive.ne.jp/digitalgate/sales/index.html

共感・感謝の気持ちを伝えよう!

質問者からの補足

う~ん、確かに、別セグメントではない設定が、#1の補足で示したページの例だけなんですよね・・・ 記述ミスでしょうか・・・ 話はそれますが、"Sonicwall Plus DMZ"というのが会社にあり、それはWAN側とDMZ側が同じセグメントでした。digitalgateと違うのは、DMZ側にはIPが必要ない点です。 これはブリッジをしているのではないかと思います。 どちらかというと、Sonicwallのような設定ができた方がよさそうな・・・

  • 回答No.8
noname#41381
noname#41381

#7のものです。 すみません、#1補足URLの絵よくみたら別のIPがふられてましたね...。 ブリッジじゃないのか...

共感・感謝の気持ちを伝えよう!

質問者からの補足

回答ありがとうございます。 私としては、ブリッジの方が、IPが1つ少なくてよいので、ブリッジの方がいいと思っています。 そこで、ちょっと思ったのですが、ブリッジにIPを設定する場合、DHCPなどで動的に割り当てることはできるのでしょうか? また、Linuxでのブリッジ設定ツールには、bridge-utilsというものがあります。Redhat7.3からはインストールCDに含まれていると思います。

  • 回答No.7
noname#41381
noname#41381

eth1とeth2をブリッジとして動作させているのでは? #1補足にあるdigitalgateがどうかはわかりませんが、 LinuxやFreeBSDを基として作られているアプライアンス側のファイアウォールも よくブリッジモードとかで動作しますね(普通は3ポート全てかな) 調べてませんが、Linux用ブリッジツールとかもどこかに公開されているのではないでしょうか?

共感・感謝の気持ちを伝えよう!

  • 回答No.6

>Linuxで、WWW宛をeth2に固定しているのですが、ダメでした。 ダメでしたか・・・・ 直接の回答ではなく恐縮ですが、今の状況は多分次の通りのはずです。ご存知かもしれませんが・・・ eth1とeth2は同一のセグメントの為、相互のルーティングは出来ません。 この為eth1で受け取ったeth2の先にあるipアドレス向けのパケットは認識できないのでこのパケットをeth1では受け取りません。(ちなみにeth2の口にipは自分で持っているため応答します。) これを回避するためにroute addを定義すれば行けるかと思ったんですが。。。 後はもし出来るので在れば、全ての経路情報を静的に定義するぐらいでしょうか?(NATやIPマスカレードを使っていると厄介ですが・・・) これでダメだとLinux単体では無理そうな気がします。後は別途そう言うソフトウェアがあるかどうかですが、私は残念ながら知りません。。。

共感・感謝の気持ちを伝えよう!

  • 回答No.5

何か勘違いしておられるようですが、172.16.0.0~172.31.255.255はプライベートアドレスですよ! 電気的には切り離されているので(厳密ない意味ではない、ネットワーク的と言った方がいいかも)、フォワードしたのではダメですかね? 自信はありませんが。 取り敢えず、疑似環境で試した結果を報告していただければ、助かります。 >>ポート転送やDNATを使って、それほど難しくなく設定できると思いますが?  >これをしてしまうとLANとWANの通信の時に問題になりませんか?私の勘違いかな? おそらく、勘違いです。難しくないかどうかはともかく(わりと面倒)WAN-DMZ, WAN-LAN, LAN-DMZそれぞれ適切な設定さえすれば問題ありません。

共感・感謝の気持ちを伝えよう!

質問者からの補足

> 何か勘違いしておられるようですが、172.16.0.0~172.31.255.255はプライベートアドレスですよ! 勘違いはしていませんよ。"仮に"と書いてます。 > フォワードしたのではダメですかね? 自信はありませんが。 iptablesのPREROUTINGでDNATさせるというのがいいのかもしれませんが、うまく設定できません。そもそも、自身宛でないパケットに対して、PREROUTINGでルール設定できないような気がします・・・

  • 回答No.4

補足読みました。 eth1とeth2は同一セグメントと言う事ですね。 DMZにroute addでWWWサーバーをeth2に固定してもダメでしょうか? WIN2000だとこの方法で有効だったと思うんですが、Linuxではこう言った経験が無いのでかなり自信は無いんです。スミマセン 蛇足ですが、先の補足にある >ポート転送やDNATを使って、それほど難しくなく設定できると思いますが?  これをしてしまうとLANとWANの通信の時に問題になりませんか?私の勘違いかな?

共感・感謝の気持ちを伝えよう!

質問者からの補足

>DMZにroute addでWWWサーバーをeth2に固定してもダメでしょうか? Linuxで、WWW宛をeth2に固定しているのですが、ダメでした。LinuxがWWW宛のパケットを受け取ってくれません。 ipエイリアスを設定して転送させた方がいいのでしょうか? しかし、これだとまたさらにIPを使ってしまいますよね・・・

  • 回答No.3

いくつか分からない事があるので。。。 WAN側ネットワークとWAN向けのeth2のセグメントが違うのはなぜでしょう? WANの先にあるのは172.31.0.0/24で良いんですか? > 上記の構成以外にも、DMZ側とWAN側が同一セグメントになるような設定があれば、 > そちらも検討したいので、ご教授願います。 逆にセグメントを別にしてる理由は何故でしょう?セグメントが別だとWAN側の先でルーティングが必要になるんで大変だと思うのですが? No.1の方の補足にあるURLはプロバイダ接続でサーバーを立てる例だと思うのですが同様ですか?(企業内のWAN等では無いのでしょうか?)

共感・感謝の気持ちを伝えよう!

質問者からの補足

回答ありがとうございます。 > WAN側ネットワークとWAN向けのeth2のセグメントが違うのはなぜでしょう? すみません!間違えました!以下のように修正させていただきます。 ・WAN側ネットワーク 172.31.1.0/24 ・eth0(LAN) 192.168.1.1 ・eth1(WAN) 172.31.1.10 ・eth2(DMZ) 172.31.1.11 ・WWW(DMZ内に設置) 172.31.1.12 > 逆にセグメントを別にしてる理由は何故でしょう?セグメントが別だとWAN側の先でルーティングが必要になるんで大変だと思うのですが? ポート転送やDNATを使って、それほど難しくなく設定できると思いますが? DMZ内のサーバにWAN側と同じネットワークのアドレスを設定できる設定を知りたいのです。 >No.1の方の補足にあるURLはプロバイダ接続でサーバーを立てる例だと思うのですが同様ですか?(企業内のWAN等では無いのでしょうか?) Linuxの設定として、No.1の補足にあるページのようなことをやるにはどうしたらいいのかが知りたいのです。

  • 回答No.1

> ・WWW(DMZ内に設置) 172.31.1.12 なぜ、DMZ内のWebサーバーにグローバルIPアドレスを振っているのですか? 私はこういう設定はしたこと内ので良く理解できません(^^; > WAN側からWWWにアクセスできるようにするには、どのような設定をすべきでしょうか? Linuxではどういうパケットフィルタリングをしているのでしょうか? ちゃんと、eth1へのポート80や443(デフォルトのhttp,httpsのポート)へのアクセスを、WWWにフォーワードしていますか? tcp,udpの設定はどうなっていますか? > 上記の構成以外にも、DMZ側とWAN側が同一セグメントになるような設定があれば、 > そちらも検討したいので、ご教授願います。 ???WAN側と、DMZ側が同一セグメントであれば、そもそもDMZとは言わないのでは? うん?。。。私も頭が混乱してきました(^^;

共感・感謝の気持ちを伝えよう!

質問者からの補足

回答ありがとうございます。 以下のページにあるような設定をしたかったのです。 http://www.bit-drive.ne.jp/digitalgate/sales/network/flets-sdsl-2.html DMZ内サーバにローカルIPを割り当てて、ポート転送や、IPエイリアス+NATといった設定はわかるのですが、上記のページのような方法がどのように実現されているのか気になっているのです。

関連するQ&A

  • RedHatで構築したファイアウォールサーバのDMZにアクセスできない

    RedHatで構築したファイアウォールサーバのDMZにアクセスできない原因が解らない。 『図解でわかる Linuxサーバ構築・設定のすべて 一戸英男(日本実業出版社)』を参考に、 RedHat Enterprise Linux 5 で ファイアウォールサーバ(以下、FW-Server)の構築を勉強しています。 構築した環境は以下になります。 ======================== TestPC : RedHat ----------------------- IP : 111.222.333.65/28 ========================   | ========================== FW-Server : RedHat              ===================== --------------------------         Web-Server : RedHat eth0 : 111.222.333.70/28           ---------------------  eth2 : 111.222.333.73/29 --- DMZ --- 111.222.333.75/29 eth1 : 192.168.1.1                ===================== ==========================   |   |   LAN eth0 : WAN eth2 : DMZ eth1 : LAN と、想定して構築しています。 route、iptables の設定は、本の通り設定を行ったつもりなのですが、 TestPCからWeb-Serverに接続する(Webページを表示する)ことができません。 ・Ping について TestPC からは、Pingは eth0、eth2 まで飛び、Web-Serverまで飛ぶことができません。 LAN からは、PingはWeb-Serverに飛び、Webページを表示することができます。 FW-Serverからは、PingはWeb-Serverに飛び、Webページを表示することができます。 ・tcpdump コマンドについて FW-ServerとWeb-Serverでtcpdumpコマンドを実行し、TestPCから接続を試みたところ、 FW-Serverでは反応がありますが、Web-Serverでは反応がありません。 ・route の設定について routeの設定は以下になります。 route add -net 111.222.333.72/29 gw 111.222.333.73 eth2 route add -net 111.222.333.64/28 gw 111.222.333.70 eth0 route add -net 192.168.1.0/24 gw 192.168.1.1 eth1 route add -net 0.0.0.0 gw 111.222.333.65 eth0 ・iptables の設定について iptablesの、基本ポリシーと各NICのFORWARDの設定は以下になります。 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -o eth2 -j ACCEPT iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT iptables や route の設定を変えて接続テストを行っていますが、接続することができません。 RedHat については、インストールから行っています。 ネットワーク初心者ですので、行った設定について不備な点・怪しい点について見当がつきません。 確認事項だけでもアドバイスを頂けると助かります。よろしくお願いします。

  • RadHatLinux9 での ルーター兼サーバー構築

    RedHatLinux9 をインストールし、NICを2枚挿し、 eth0 (ヤフーなのでDHCP)を WAN(YahooBB)、 eth1 (固定 192.168.1.1)を LAN として設定し、DHCPの設定を行いました。 eth1にWindowsXPのマシンをつないだのですが、「ネットワークに接続されていません。」になってしまい、ping も通らず Media disconnected になってしまします。windowsのIPは自動取得にしています。 サーバー側では、ifconfig で確認すると eth1,eth0 ともちゃんと設定されているようです。 WAN側へは、pingは通ります。 NICが、原因なのかと思って、 別のNICで試したのですが、やぱりだめでした。 なにか基本的なことが抜けているのか、 まったく原因が解らないのですが、どうかよろしくお願いします。

  • Redhat7.2でNIC3枚

    こんにちわ。 Redhat7.2を使用して、DMZを構築しようと思っていますが、NIC3枚のうち、2枚が同じものであったら、"/etc/modules.conf"にはどのように表示されるのでしょう? alias eth0 sis900 alias eth1 8139too alias eth2 8139too というふうになるのでしょうか? この場合、eth1,eth2がそれぞれどちらのNICなのか、接続するまでわからないということになるのでしょうか? まだNICを買っていないので、買う前に質問させていただきました。何か情報をお持ちの方は、よろしくお願いします。

  • Redhat 5 のインターフェイス

    Redhat 5 というより恐らくLinuxの使用だと思うのですが、インターフェイスがばらばらの状態になりました。 Redhat 5 をインストールしたサーバに4ポートの拡張NICを刺しています。デフォルトNICが二つなので計6個のNICを持っている事になります。 アドレスを4個ふり、自分の認識ではデフォルトNICの左からeth0、eth1となり拡張NICの左からeth2、eth3と順番になると思っていました。 しかし実際pingを飛ばすとどうも違うような認識をしているみたいでした。自分がeth2と思っているNICがeth3だったりという状態です。 この設定を上記自分が思っているような状態に修正したいのですが、どのようにしたらいいでしょうか。 各NICに仮のアドレスをふり、今現在どのNICがどのアドレスを認識しているかを調べた後に /etc/sysconfig/network-scripts/ 下のifcfg-eth0などの設定ファイルの中のMACアドレスを変えるなどでいけるかと思うのですが。 助言頂けると助かります。

  • NICの2枚挿し(ルーター用に)

    こんにちわ。 RedHat Linux9をADSLルーターにしようとしています。 (ADSLは、YahooBBのです) ですが、NIC一枚だけ(eth0)の時は、ちゃんとインターネットに接続でき外に向けたpingも通るのですが、二枚目(eth1)を認識させたとたんに、外へのpingすら通らなくなってしまいます。 eth0には、DHCPからIPアドレスなどを取得するように設定 eth1には、 IPAddress=192.168.1.1 SubnetMask=255.255.255.0 DefaultGateway:設定なし としています。 /etc/sysctl.comは、 net_ipv4.ip_forward=1 # iptables -t nat -A POSTROUTING -s 192.168.1.0 -o eth0 -j MASQUERADE も打ってみたのですが。。 以上、足りない設定や確認すべきところなど教えていただけませんでしょうか。 よろしくお願いします。

  • FedoraCore5でDHCPサーバ

    こんにちは。 上の者から「Fedoracore5で作るネットワークサーバ」みたいな本を渡され、 「これ読めばできるから」と言われ、四苦八苦してるほとんど素人です。 新しいPCにOSのインストールから始めて、第一の目的であるDHCPサーバの設定をしています。 NIC2枚挿しで、eth0をWAN側、eth1をLAN側としました。 ルータ  | eth0 Linux機 eth1  | WindowsPC     こんな感じ・・・?ヘタですみません。 eth0はIPを、192.168.0.2 eth1はIPを、192.168.11.1  としました。 WindowsPCにDHCPで、IPを192.168.11.5と振りました。 WindowsPC側で、ipconfigで確認したらちゃんと振られていて、 pingを打つと、192.168.11.1も192.168.0.2も、元のルータも通ります。 ただ、インターネットには繋がりません。 これがなぜなのかで悩んでいます。 本を読んでもわからず、ネットで調べてもわからず・・・。 情報不足でしたらすみません。それも含めて御指摘いただければ。。。と思います。 よろしくお願いいたします。

  • UbuntuServer8.04でのファイアウォール構築について

    現在UbuntuServer8.04でufwを使ってファイアウォールを構築しています。 ファイアウォールにするPCにNICを1枚追加し、eth0をWAN側、eth1をLAN側にしてケーブルでつないでみたのですがネットワークに接続できません。 ufwの設定は以下のサイトを参考にし、IPマスカレードの設定をしました。 http://doc.ubuntu.com/ubuntu/serverguide/C/firewall.html 現在の構成は以下の通りです。 ルータ---(eth0)ファイアウォールPC(eth1)---PC ルータ:192.168.0.1 ファイアウォール(eth0):192.168.0.179 GW:ルータ         (eth1):192.168.0.180 GW:ルータ PC:192.168.0.101 GW:ルータ 以下が自分で試してみた項目の一覧です。 ・IPマスカレードのFORWARDの設定のインタフェースをeth0からeth1にかえてみる ・ファイアウォールのeth1のGWを自分のIPにする ・PCのGWをファイアウォールのeth1にする ・ファイアウォールのeth0とeth1のケーブル接続を交代して設定をやり直す 上記の項目を色々組合わせたりしてみたのですがどうしてもつながりませんでした。 pingもeth0→ルータ、eth1→PCは飛ばせるのですが PC→ルータ、eth0→PCはホストが見つかりませんという旨のメッセージが返されてしまいます。 詳しい方がいらっしゃいましたら、アドバイスをよろしくお願いします。

  • RedHat Linux 7.2 のルータもしくはFirewall設定問題?

    現状: OS:RedHat Linux 7.2 稼動中Server:Bind,Apache,FTP,Sendmail等 NIC:eth0->内部LAN向け192.168.1.16 eth1->Flets ADSL Modem,IP無し(PPPoE) /etc/sysconfig/network: ... GATEWAY="192.168.1.16" GATEWAYDEV="eth1" FORWARD_IPV4="yes" ... /etc/pppoe.conf: ... ETH="eth1" ... 症状: このLinuxサーバは外部のURLをアクセスすることは問題ないけど、内部LANのWindowsパソコンから外のInternetサーバを訪問できない状態なっています。 例えば: c:\>ping www.goo.ne.jp Pinging www.goo.ne.jp[210.150.25.37] with bytes of data Request timed out. Request timed out. Request timed out. ..... こんな状態なんです、これはルータ設定かもしくはFirewall設定の問題か よくわかりません。 今、困っています。是非、教えてください。 よろしくお願いいたします。

  • cisco ASA5510でDMZ

    NATの設定?で困っています。 WAN-----ASA-----LAN          | DMZ--サーバ(グローバルIPとプライベートIP有り) *グローバルIPはISPから固定で貰ったものです。 上記構成で、LAN側からDMZのプライベートIPではアクセスできるのですが、グローバルIPではアクセスできません。 DMZ=WAN(outside) LAN(inside)=WAN(outside) でnat設定してあり、発見しました。 LAN(inside)=DMZ を追加したのですが、上手くいきません。 宜しくお願いします。

  • cisco ASA5510でDMZ

    NATの設定?で困っています。 WAN-----ASA-----LAN          |         DMZ--サーバ(グローバルIPとプライベートIP有り) *グローバルIPはISPから固定で貰ったものです。 上記構成で、LAN側からDMZのプライベートIPではアクセスできるのですが、グローバルIPではアクセスできません。 DMZ=WAN(outside) LAN(inside)=WAN(outside) でnat設定してあり、発見しました。 LAN(inside)=DMZ を追加したのですが、上手くいきません。 宜しくお願いします。