2台直列に接続されたルータについて

現在、以下のようなネットワーク環境の設定について
対応を行っておりますが、当方、初心者のため知恵をいただきたく
宜しくお願いいたします。

-------------------------------------------------
ONU----ルータA-----HUB-----ルータB----無線LANの親
-------------------------------------------------
上記のルータBの設定を行っているのですが、条件として
　・無線LANに繋がったPCからインターネットはアクセスOK
　・無線LANに繋がったPCからHUBから接続されたPCへのアクセスはNG
　・無線LANに繋がったPC同士のアクセスNG
　・HUBへDHCPサーバ、DNSサーバ、WEBサーバは接続
　・無線LANに繋がったPCのIPアドレスはDHCPサーバを利用して取得
となっており、ルータBのルーティング設定及びDHCPの設定までは
できている認識ですがファイアウォールの設定方法に悩んでおります。

ルータBに対してNAT設定が必要なのでしょうか？
自分の認識ですと、ルータBではプライベートからグローバルアドレスへの
変換は必要なく、ルータAにて行われるのではないかという考えです。

ざっくりとした内容ですが、宜しくお願いいたします。

ベストアンサー a_oratorio 回答No.1

ネットワークセグメントを分けて考えた方がいいと思います。

仮に以下のセグメントに分けたとします。
ONU-ルータA: グローバルセグメント
ルータA - ルータB: DMZ : 192.168.10.0/24
ルータB - 無線親機: ローカルセグメント 192.168.20.0/24

こう考えると、

【無線LAN親機】
無線LANのPC同士の通信を禁止 (機能が無ければ無理)

【ルータB】
デフォルトルートをルータAに設定
DHCPサーバへのDHCP-Relay設定

ファイアウォール:
192.168.20.0/24 -> Webサーバへの通信を許可
192.168.20.0/24 -> DNSサーバへの通信を許可
192.168.20.0/24 -> 192.168.10.0/24 の通信を ドロップ

【ルータA】
IPマスカレード等でグローバルに接続
192.168.20.0/24宛をルータBへルート設定

【DMZセグメントクライアント】
デフォルトルートをルータAに設定

とすればいいかと思います。

お礼 2012/07/05 04:49

回答ありがとうございます。

>ファイアウォール:
>192.168.20.0/24 -> Webサーバへの通信を許可
>192.168.20.0/24 -> DNSサーバへの通信を許可
>192.168.20.0/24 -> 192.168.10.0/24 の通信を ドロップ
⇒上記について、自分の認識だとルータBのLAN側へWebサーバやDNSサーバが
接続されていなければ、portの開放は不要という考えでしたので大変助かりました。