DMZ内のサーバに残るアクセス元IPアドレスについて

DMZ内のサーバに残るアクセス元IPアドレスについて

現在、JuniperのSSG5-ISDNを使用して、インターネットからアクセスできないLAN、インターネットからアクセスできるDMZを分けております。
で、インターネットからDMZにアクセスすると、アクセスもとのグローバルアドレスがアクセスログとして残りますが、LANからDMZにアクセスするとルーターのDMZポートのIPアドレスが出ます。
たぶんNATの役割を果たしているんだと思いますが・・・。

これを、インターネット→DMZのようにLAN→DMZもマスカレードされないようにすることはできますでしょうか。

ベストアンサー bunjii 回答No.2

「JuniperのSSG5-ISDN」の仕様を見ていませんでした。

>なぜかDMZポートのIPアドレスがDMZ内サーバのログに残るのはなぜでしょうか
LANポートの設定がNAT変換してインターネットとDMZへリクエストを送っているためではないでしょうか？

何れにしてもLANポートとDMZポートの設定を見直す必要がありそうです。
考え方はWAN←→DMZ←→LANと言う経路をルーター内に設定しなければ目的どおりにならないと思います。
設定に当たってはDMZに設置されたサーバーを足がかりにLAN側へ攻撃が及ばないようにしなければなりませんのでセキュリティ面も含めて再検討して下さい。

お礼 2010/09/26 22:33

ご回答ありがとうございます。

返事が遅くなって申し訳ありません。
DMZを足がかりにしてLANへ攻撃する、というのは最も警戒していることなのでそのへんも含めてもう少し調べてみようと思います。

とりあえずこれは私個人の興味なので設定を変更することもありません。
地道に設定画面を見てみようと思います。

bunjii 回答No.1

>これを、インターネット→DMZのようにLAN→DMZもマスカレードされないようにすることはできますでしょうか。
2重ルーターで運用されているのでしょうか？
ルーターAをブロードバンドルーターとしてインターネットの出入り口とし、ルーターBがDMZとLANの境界に設置されたローカルルーターとすればルーティングの定義でご希望の状態にできるはずです。
現在の接続状態とルーターのメーカー、形式を補足すれば具体的な回答を得られると思います。

補足 2010/09/21 11:43

ありがとうございます。

接続は、１つのルータにWAN用ポート・LAN用ポート・DMZポートがぶら下がっている状態です。
ルータの動作で、「インターネットポートから入ってDMZポートに行く」時は接続元のグローバルIPがDMZ内サーバのログに残るのですが、「LANポートから入ってDMZポートに行く」時は、なぜかDMZポートのIPアドレスがDMZ内サーバのログに残るのはなぜでしょうか、ということです。