• ベストアンサー

DMZのwebサーバがLANから閲覧できない

DMZにサーバをのせようとしていますが、 うまくいきません。 どなたかアドバイスをお願いいたします。 [現象] DMZにwebサーバをのせました。 外部からはテストページの表示ができるのですが、 社内LANからテストページの表示ができません。 [環境] サーバOS :centos5.2 /etc/sysconfig/network-scripting/ifcfg-eth0 には、 gatewayの設定はしていますせん。 (ネットワーク管理者に不要だといわれたため) サーバは、 ファイアウォール・VPN・リモートアクセスなど ゲートウェイ機能搭載の中小規模オフィス向けネットワークサーバーを経由して、 外部、LANそれぞれと通信します。 [確認した事項] 下記の内容を、サーバのファイアウォールをはずして検証してみました。 ネットワークサーバのログは見られません。 (1)外部からアクセスしたとき ・pingは通る ・webテストページの表示ができる ・ネットワークサーバーのログは正常に通信していると残っている。 (ヘルプデスクに確認) (2)社内LANからアクセスしたとき ・pingが通らない ・webテストページの表示ができない ・ネットワークサーバーのログによると、DMZのサーバへ要求は投げているが、 DMZのサーバからの戻りはない。 (ヘルプデスクに確認) サーバのログは以下のとおりです。 ・正常なやりとりのログ [root@iserver ~]# tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 21:31:46.754868 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 57592, seq 0, length 64 21:32:26.871001 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 57592, seq 0, length 64 21:31:46.870377 IP (問題のサーバのドメイン名).44291 > (LAN内のDNSのIP).domain: 41736+ PTR? (問題のサーバのIPを逆から表示したもの).in-addr.arpa. (45) 21:31:47.765841 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 48562, seq 1, length 64 21:31:47.765858 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 48562, seq 1, length 64 21:31:48.775690 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 52530, seq 2, length 64 21:31:48.775707 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 52530, seq 2, length 64 21:31:49.786146 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 15423, seq 3, length 64 21:31:49.786161 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 15423, seq 3, length 64 21:31:50.796110 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 15768, seq 4, length 64 21:31:50.796124 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 15768, seq 4, length 64 ・LANからの異常なやりとりのログ 21:35:04.456219 arp who-has (問題のサーバのIP) tell (社内のIPと思われるもの-2) 21:35:04.456241 arp reply (問題のサーバのIP) is-at (MACアドレス2)(oui Unknown) 21:35:04.456374 IP (問題のサーバのドメイン名).48609 > (LAN内のDNSのIP).domain: 42979+ PTR? (社内のIPと思われるもの-2を逆から表示したもの).in-addr.arpa. (45) 21:35:04.456493 IP (PINGを実行したLAN内マシンのIP) > (問題のサーバのIP): ICMP echo request, id 512, seq 513, length 40 21:35:04.456787 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:05.456851 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:06.456914 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:09.453100 arp who-has (LAN内のDNSのIP) tell (問題のサーバのドメイン名) 21:35:09.453151 IP (問題のサーバのドメイン名).45524 > (DNSのIP).domain: 42979+ PTR? (社内のIPと思われるもの-2を逆から表示したもの).in-addr.arpa. (45) 21:35:09.453401 arp reply (LAN内のDNSのIP) is-at (MACアドレス) (oui Unknown) 21:35:09.961830 IP (PINGを実行したLAN内マシンのIP) > (問題のサーバのIP): ICMP echo request, id 512, seq 769, length 40 21:35:09.965131 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:10.965194 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:11.965256 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)

質問者が選んだベストアンサー

  • ベストアンサー
  • OKwebb
  • ベストアンサー率44% (92/208)
回答No.1

LANからの異常なやりとりのログ では (問題のサーバのIP) > (PINGを実行したLAN内マシンのIP): ICMP echo reply がでてないので、サーバから出力されていないと思います。 サーバのファイアウォールをはずしてとのことですが、そこの再確認とルーティングの確認ですかねぇ。

ginjii
質問者

お礼

サーバのファイアウォールの再確認を行いました。 ファイアウォールとはiptablesのことを言っていたのですが、 これを落とすと正常な通信もできない可能性があると知りました。 問題点の本質は別のところにあり解決しましたが、 着眼点として参考になりました。 ご指摘ありがとうございました。 以下、原因と解決法です。 ************************************** DMZに持っていったサーバは、LAN内で動作確認を おこなってからDMZに移しました。 そのとき、ifcfg-eth0 のLAN用設定を、 ifcfg-eth0_save という名前で同ディレクトリに 保存しておいたところ、これが読み込まれていました。 ifcfg-eth0 はDMZ用のIPアドレスなどを設定しており、 ifcfg-eth0_save はLANのときに使用していた環境という状態です。 ifcfg-eth0_save には、LAN用のgateway(172から始まるIPアドレス) が設定されており、 なぜかこれがあると外部から繋がるということが分かりました。 (なぜそうなったかは不明です) それで、問題の本質ですが、 やはりgatewayを設定していないと繋がらないということでした。 gatewayの設定は、ネットワーク管理者からローカルIPアドレスを 設定するよう言われていたのですが、グローバルIPアドレスを指定する必要がありました。 LANからの異常なやりとりのログの1行目、 (社内のIPと思われるもの-2) というのが、実はネットワークサーバ(ルータ)の グローバルIPアドレスであるということが分かり、 ifcfg-eth0 にgatewayとして追加したことで解決しました。

その他の回答 (1)

noname#208124
noname#208124
回答No.2

LAN内からサーバーへのアクセスがグローバルIPアドレスでアクセスされるような構成ではありませんか DNSサーバーがDMZサーバーのIPアドレスをグローバルIPアドレスでLAN内にも返したり こういうパケットの流れになると"ヘアピンNAT"とか呼ばれる機能を持ったルーターでないとだめらしいです 回避方法としてはhostsファイルやDNSサーバーの設定でLAN内に対してはサーバーのLAN内でのIPアドレスを返す方法があるそうです

ginjii
質問者

お礼

ご回答ありがとうございました。 問題点の本質はご指摘いただいた内容とは違っていたのですが、 グローバル、ローカルのIPの切り分けが問題点でした。 参考になりました。 現在はDNSでの名前解決ができないという新たな 問題が発生していますが、おそらく似たような 原因だと思います。 問題点と解決方法は上の方のお礼のほうに 書いておきましたので、参考までにご覧ください。 いろいろありがとうございました。

関連するQ&A

専門家に質問してみよう