- 締切済み
ファイアーウォールでの宛先と送付元の同時NAT
画像の説明 A=サーバー 仮にipアドレスが192.168.1.5/24 Cのipアドレスや許可していないアドレスからは接続させない設定 拒否 CのLAN側192.168.1.1/24や許可した物以外のすべて 許可 C以外の192.168.1.0/24と拡張用にとっておいた192.168.2.0/24 B=クライアント 仮にipアドレスが192.168.1.0/24のうちでどれか C=ファイアーウォール 仮にLAN側が192.168.1.1/24WAN側が10.10.10.1/24 D=モデム E=インターネット こんなネットワークがあります。 Bのサーバーは内部にしか公開していないサーバーでBのような端末がいっぱいあるネットワークに所属しています。 今度このサーバーを外部にも公開したいのですがサーバーの設定をかえる許可がでません。 そこでファイアーウォール(JuniperのSSG20という製品です。)を設定しなおし対応しようと思っているのですが サーバーの接続拒否設定もありただCのファイアーウォールで宛先NATJuniperでいえばMIPをして 10.10.10.10を192.168.1.5に変えただけでは送付元が拒否の範囲なので接続できません。 そこで将来のLANを拡張用にしておいた192.168.2.0のネットワークアドレスが許可になっているのを 利用して送付元をこの192.168.2.0/24で動的NATをしてやればうまくいくんじゃない?という話になっています。 ただ夜間にですが実験を行ったところどうにもうまく接続できない状態です。 CiscoのルータをCとDの間にはさみそこで宛先と送付元の二つをNATしてあげるのはうまくいきそうなのですが ファイアーウォールのSSG20だけでなんとかこの二つのNATをしてあげることはできないでしょうか? もしくはなにかいい方法があればと思い質問させていただきます。 ちなみにサーバーの設定変更や専門業者への依頼はできない制約になっています。 あとログの確認のしやすさのため外部から接続してきたPCの192.168.2.0/24のネットワークアドレスで 動的に振り分けないといけないというのも必要なのです。 ネットワークの知識があまりないためうまくご説明できないのですが どうかよろしくお願いいたします。
- rennan
- お礼率0% (0/5)
- その他(ITシステム運用・管理)
- 回答数2
- ありがとう数0
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- gamera4500
- ベストアンサー率62% (44/70)
No1です 一応レスしているので、まあ、追記します 定義の方法ですが IP/24でDENYのポリシー がサーバの拒否になってしまうというのであれば サーバのIP/32 PERMIT(32ビット指定) IP/24 DENY の順に記述すればそのセグメントのサーバのみ許可可能となります。 JUNIPERのポリシーは上から順に見ていきHITした時点で 処理を行います
- gamera4500
- ベストアンサー率62% (44/70)
こんちす 文章が良くわからないないのですが 新しく、サーバを公開したい MIPを使用している という意味でしたら、 MIPとは1対1のNATである うろおぼえで申し訳けないのすが MIPは1対1であるが、外部複数に対して、内部1のNATはできる であったと記憶しています。 よって 今:グローバルIP-A<-MIP->該当サーバのIP という設定なので、MIPをもう一個追加して グローバルIP-A-MIP->該当サーバのIP グローバルIP-B-MIP->該当サーバのIP としてやれば、新しいIP(B)でサーバが公開できます。 IPの管理はご自分の範囲なんでしょ?多分
補足
送信元IPもNATしないといけないのでそれじゃサーバー側でアクセスがはねられるのですよ
補足
回答ありがとうございます。 ただ回答の意味が少しわかりかねます。 一応自己解決しましたのでご報告だけ。 MIPの In the same subnet as the extended IP に192.168.2.0と設定してやれば そのネットワークアドレスで動的にソースアドレスをNATしてやることができました。