- ベストアンサー
Redhat7.3でDMZ構築
Marionetteの回答
- Marionette
- ベストアンサー率56% (42/74)
何か勘違いしておられるようですが、172.16.0.0~172.31.255.255はプライベートアドレスですよ! 電気的には切り離されているので(厳密ない意味ではない、ネットワーク的と言った方がいいかも)、フォワードしたのではダメですかね? 自信はありませんが。 取り敢えず、疑似環境で試した結果を報告していただければ、助かります。 >>ポート転送やDNATを使って、それほど難しくなく設定できると思いますが? >これをしてしまうとLANとWANの通信の時に問題になりませんか?私の勘違いかな? おそらく、勘違いです。難しくないかどうかはともかく(わりと面倒)WAN-DMZ, WAN-LAN, LAN-DMZそれぞれ適切な設定さえすれば問題ありません。
noname#41381
- noname#41381
- noname#41381
関連するQ&A
- RedHatで構築したファイアウォールサーバのDMZにアクセスできない
RedHatで構築したファイアウォールサーバのDMZにアクセスできない原因が解らない。 『図解でわかる Linuxサーバ構築・設定のすべて 一戸英男(日本実業出版社)』を参考に、 RedHat Enterprise Linux 5 で ファイアウォールサーバ(以下、FW-Server)の構築を勉強しています。 構築した環境は以下になります。 ======================== TestPC : RedHat ----------------------- IP : 111.222.333.65/28 ======================== | ========================== FW-Server : RedHat ===================== -------------------------- Web-Server : RedHat eth0 : 111.222.333.70/28 --------------------- eth2 : 111.222.333.73/29 --- DMZ --- 111.222.333.75/29 eth1 : 192.168.1.1 ===================== ========================== | | LAN eth0 : WAN eth2 : DMZ eth1 : LAN と、想定して構築しています。 route、iptables の設定は、本の通り設定を行ったつもりなのですが、 TestPCからWeb-Serverに接続する(Webページを表示する)ことができません。 ・Ping について TestPC からは、Pingは eth0、eth2 まで飛び、Web-Serverまで飛ぶことができません。 LAN からは、PingはWeb-Serverに飛び、Webページを表示することができます。 FW-Serverからは、PingはWeb-Serverに飛び、Webページを表示することができます。 ・tcpdump コマンドについて FW-ServerとWeb-Serverでtcpdumpコマンドを実行し、TestPCから接続を試みたところ、 FW-Serverでは反応がありますが、Web-Serverでは反応がありません。 ・route の設定について routeの設定は以下になります。 route add -net 111.222.333.72/29 gw 111.222.333.73 eth2 route add -net 111.222.333.64/28 gw 111.222.333.70 eth0 route add -net 192.168.1.0/24 gw 192.168.1.1 eth1 route add -net 0.0.0.0 gw 111.222.333.65 eth0 ・iptables の設定について iptablesの、基本ポリシーと各NICのFORWARDの設定は以下になります。 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -o eth2 -j ACCEPT iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT iptables や route の設定を変えて接続テストを行っていますが、接続することができません。 RedHat については、インストールから行っています。 ネットワーク初心者ですので、行った設定について不備な点・怪しい点について見当がつきません。 確認事項だけでもアドバイスを頂けると助かります。よろしくお願いします。
- ベストアンサー
- ネットワーク
- SonicWALL DMZではまっています。
SonicWALL DMZについて質問します。 LAN,DMZ,WANにそれぞれ、端末・ルータを接続しました。 DMZ側からWANにpingは通ります。また、WAN側からDMZにpingが通ります。 ですが、LANに接続されたローカルアドレスの端末からDMZ側にあるDNSサーバやWWWサーバに接続しようとしても、接続できない旨のメッセージが表示されます。 なお、設定は、ほとんどしていません。(とはいいましても、マニュアル通りのことはしてあります。) また、ファームウェアは4.1.1を使用しています。 どのようにすればLANからDMZもしくはWANに出られるのでしょうか。
- 締切済み
- その他(インターネット接続・通信)
- Redhat7.2でNIC3枚
こんにちわ。 Redhat7.2を使用して、DMZを構築しようと思っていますが、NIC3枚のうち、2枚が同じものであったら、"/etc/modules.conf"にはどのように表示されるのでしょう? alias eth0 sis900 alias eth1 8139too alias eth2 8139too というふうになるのでしょうか? この場合、eth1,eth2がそれぞれどちらのNICなのか、接続するまでわからないということになるのでしょうか? まだNICを買っていないので、買う前に質問させていただきました。何か情報をお持ちの方は、よろしくお願いします。
- ベストアンサー
- その他(OS)
- RadHatLinux9 での ルーター兼サーバー構築
RedHatLinux9 をインストールし、NICを2枚挿し、 eth0 (ヤフーなのでDHCP)を WAN(YahooBB)、 eth1 (固定 192.168.1.1)を LAN として設定し、DHCPの設定を行いました。 eth1にWindowsXPのマシンをつないだのですが、「ネットワークに接続されていません。」になってしまい、ping も通らず Media disconnected になってしまします。windowsのIPは自動取得にしています。 サーバー側では、ifconfig で確認すると eth1,eth0 ともちゃんと設定されているようです。 WAN側へは、pingは通ります。 NICが、原因なのかと思って、 別のNICで試したのですが、やぱりだめでした。 なにか基本的なことが抜けているのか、 まったく原因が解らないのですが、どうかよろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- Redhat 5 のインターフェイス
Redhat 5 というより恐らくLinuxの使用だと思うのですが、インターフェイスがばらばらの状態になりました。 Redhat 5 をインストールしたサーバに4ポートの拡張NICを刺しています。デフォルトNICが二つなので計6個のNICを持っている事になります。 アドレスを4個ふり、自分の認識ではデフォルトNICの左からeth0、eth1となり拡張NICの左からeth2、eth3と順番になると思っていました。 しかし実際pingを飛ばすとどうも違うような認識をしているみたいでした。自分がeth2と思っているNICがeth3だったりという状態です。 この設定を上記自分が思っているような状態に修正したいのですが、どのようにしたらいいでしょうか。 各NICに仮のアドレスをふり、今現在どのNICがどのアドレスを認識しているかを調べた後に /etc/sysconfig/network-scripts/ 下のifcfg-eth0などの設定ファイルの中のMACアドレスを変えるなどでいけるかと思うのですが。 助言頂けると助かります。
- ベストアンサー
- Linux系OS
- NetScreen50でTrust→DMZのPINGが通らない
現在社内LANとインターネットをファイアウォール経由で接続するべく設定を行っているのですが、 ファイアウォールのTrustポート→DMZポート間のpingが通らず困っています。 マニュアルを見ても良く判らないレベルです…。 一応、簡単な構成は以下の通りです。 社内LAN(192.168.*.*) → Switch → FW 192.168.4.254/24 (eth01:Trust) → → FW FW *.*.*.45/29 (eth02:DMZ) → ルータ → インターネット FW機種:NetScreen-50 ・社内LANからはFWのeth01までpingが通ります。 ・FWのeth01(Trust)、eth02(DMZ)共にInterface Modeを"NAT"または"Route"で試してみましたが駄目でした。 ・ポリシーの"Trust to DMZ"で"Any Any Any(またはPing) Permit"と設定してあります。 また、Interfaceの設定でもeth01、02共にPINGは許可してあります。 これを読んで何かお気付きの方がいらっしゃいましたら、ご教授下さると助かります。 よろしくお願い致します。
- ベストアンサー
- ネットワーク
- cisco ASA5510でDMZ
NATの設定?で困っています。 WAN-----ASA-----LAN | DMZ--サーバ(グローバルIPとプライベートIP有り) *グローバルIPはISPから固定で貰ったものです。 上記構成で、LAN側からDMZのプライベートIPではアクセスできるのですが、グローバルIPではアクセスできません。 DMZ=WAN(outside) LAN(inside)=WAN(outside) でnat設定してあり、発見しました。 LAN(inside)=DMZ を追加したのですが、上手くいきません。 宜しくお願いします。
- 締切済み
- ネットワーク
- cisco ASA5510でDMZ
NATの設定?で困っています。 WAN-----ASA-----LAN | DMZ--サーバ(グローバルIPとプライベートIP有り) *グローバルIPはISPから固定で貰ったものです。 上記構成で、LAN側からDMZのプライベートIPではアクセスできるのですが、グローバルIPではアクセスできません。 DMZ=WAN(outside) LAN(inside)=WAN(outside) でnat設定してあり、発見しました。 LAN(inside)=DMZ を追加したのですが、上手くいきません。 宜しくお願いします。
- 締切済み
- ネットワーク
- VMWare上でNIC2枚構成のFW構築
LinuxOSをホストにVMWareWorkstation6.5.1が稼動しています。 このホストサーバの仮想環境にWin/LinuxをゲストOSとした環境が10台程度あります。 これら全て勉強環境ですが、あまりに数が増えすぎた事と、異なるOSが混在することからセキュリティ面が非常に脆弱になってきました。 その為仮想環境OSにファイアウォールサーバ(FWSV)を一台追加構築しようと思います。 NICを2枚構成にし、1枚をブリッジ、1枚をホストオンリーに設定。 ブリッジNICのみがWANへつながるゲートウェイとします。 このFWSVにアクセスリスト(iptables)を設定することによりゲストOSのパケット管理を一元化しようという試みです(もちろん余裕があり次第個別対応もしますが)。 WAN---Router---HUB---HostOS---FWSV---Server HostOSとFWSVを境目に物理と仮想環境が分かれます。 Serverはとりあえずテストでは1台(Win2003R2EE180日評価版)ですが、このテストでうまくいけば数十台の構成になります。 HUBからは別途メインPC2台に接続されています。 HostOSはCentOS5.2 FWSVはUbuntuServer8.10 HostOSの物理NICとFWSVの仮想eth0はVMnet0によるブリッジ接続。 FWSVの仮想eth1はVMnet2(カスタムホストオンリー)で構成され、Serverも全てVMnet2を使用します。 セグメントは全て同一セグメントでクラスCで構成予定。 全て同一セグメント構成なのでFWSVは「/proc/sys/net/ipv4/ip_forward」に値「1」をセットすればそれだけで行きそうなものですが、実際ServerからWANへは通信できません。 FWSVはとりあえずアクセスリストは敷いていません。 ServerからFWSVのeth0およびeth1まではpingが通ります。 HUBから派生しているメインPCからもFWSVのeth0およびeth1までpingが通ります。 FWSVからは全ての環境へpingが通ります。 ここから先実現したいネットワーク構成を構築するには何が必要でしょうか。 教えてください、宜しくお願いします。
- 締切済み
- ネットワーク
- fw構築について
はじめまして。linux(redhat)にNICを3枚挿してFWを構築しようと考えております。 例えば、グローバルアドレスを一つ取得した場合、 以下のような構成になるかと思いますが、実際問題この構成で運用できるものなのでしょうか? というのも、DMZ内にあるwwwサーバにアクセスがあった場合、 ルータが一度fwへフォワーディングをかけ、さらにfwがDMZ内にあるwwwサーバにフォワーディングを かけるという形が、実際にできるかどうか不明だからです。 ご存知の方おられましたら、ご教授のほどお願いします。 | | |↓211.*.*.*(グローバル) |------------------| | ルータ | |------------------| |↑ |172.16.1.1(プライベート) | |172.16.1.2(プライベート) |↓ |------------------| | fw |-------------DMZ |------------------|↑172.16.2.1(プライベート) |↑ |192.168.1.1 | | 内部
- 締切済み
- ネットワーク
補足
> 何か勘違いしておられるようですが、172.16.0.0~172.31.255.255はプライベートアドレスですよ! 勘違いはしていませんよ。"仮に"と書いてます。 > フォワードしたのではダメですかね? 自信はありませんが。 iptablesのPREROUTINGでDNATさせるというのがいいのかもしれませんが、うまく設定できません。そもそも、自身宛でないパケットに対して、PREROUTINGでルール設定できないような気がします・・・