- 締切済み
DMZにWEBサーバを設置し、インターネットから接続させる場合のセキュリティ設定について
bshipの回答
- bship
- ベストアンサー率51% (47/92)
元記事なのか解釈なのか判りませんが、誤りがあるようです。疑問はもっともで、「隠す」と「公開」が矛盾してます。 NAT機能は、IPヘッダの宛先あるいは送信元アドレスを変換にあります。サーバの実アドレスでないアドレスを宛先としてサーバに届くことになります。 ですからサーバの実アドレスは確かに隠せますが、結局公開アドレスでアクセスできるのでサーバの存在は隠せません。隠したら公開でなくなっちゃう。 ただNATはフィルタリングを実現させるのと同時に行われることが多い、つまり特定のポートだけNATしてフォワードするのが普通なので、サーバを直接野ざらしにするのと異なります。よってNATの機能とは直結しませんが、結果としてアクセスの制限がかかっているのが普通です。おそらくそれをNATとごっちゃにして「隠す」といっているのだと想像します。 尚、#2で指定されているようにセキュリティホールに起因する脆弱性をNATすることで回避するということはできません。全く別の話です。外からアクセスが可能である以上、セキュリティのリスクはあります。外からアクセスできなくしたらそれはもはや公開サーバではありません。 通常は、マシンのアドレスはプライベートにしておいて、ルータ等でグローバルに変換します。この話とサーバ隠蔽等セキュリティの話は全く別です。 尚、逆の方向、つまり内から外へのアクセスにおいてはNAPTによってダイナミックにNATすることにより、結果として内部ホストの隠蔽は可能です。この場合、公開はできません。
関連するQ&A
- ルーターの設定について教えてください。
ヤマハルーターRTX1000で固定IPアドレス8個をNAT機能を使い プライベートアドレスで運用しています。 外部から内部のサーバーにグローバルアドレスでアクセスするとつながるのですが、 内部から内部のサーバーにグローバルアドレスでアクセスするとつながりません。 内部から内部のサーバーにアクセスするにはプライベートIPでのアクセスしかできません。 現在テストのために下記のような設定にしております。 ip route default gateway 192.168.1.1 ip lan1 address 192.168.2.1/24 ip lan2 address 192.168.1.2/24 ip lan2 nat descriptor 1 nat descriptor type 1 nat nat descriptor address outer 1 192.168.1.10-192.168.1.12 nat descriptor address inner 1 192.168.2.10-192.168.2.12 nat descriptor static 1 1 192.168.1.10=192.168.2.10 1 nat descriptor static 1 2 192.168.1.11=192.168.2.11 1 nat descriptor static 1 3 192.168.1.12=192.168.2.12 1 内部のサーバーにエイリアスのipアドレスを設定するとpingは通るようになりましたが、 telnetなど他の通信はできませんでした。 内部からグローバルアドレスで内部のサーバーに接続するにはどうすればよいでしょうか? よろしくお願いします。
- 締切済み
- ネットワーク
- DMZ内のサーバー間で
FireWallのDMZ内にLinuxサーバが数台あります。いわゆるNATでアドレス変換する形で設置しており、各Linuxはプライベートのアドレスを割り振っています。 サーバ間でtelnetなどする時はプライベートのIPアドレスでアクセスするのが普通でしょうが、動作させているプログラムの関係でグローバルの方でもアクセスできるようにしたい場合、どうやって解決するのが一般的でしょうか? 現在はグローバルIPでtelnetなどしますとサーバに届かずタイムアウトになります。 DMZ内にはDNSもありnslookupで逆引きはできますけれども結局戻ってくるアドレスはグローバルIPなのでやはりアクセスできません。
- 締切済み
- その他(インターネット接続・通信)
- DMZ領域のWebサーバから外部にアクセスできない
前回別の部分で質問しましたが… 申し訳ないですがもう一度質問させて下さい。 現在社内LANとインターネットをFW経由で接続するべく設定を行っています。 構成は以下の図のとおりです。 Internet | | ------------------ | ブロードバンドルータ | ------------------ | LAN側 *.*.*.41 | | Untrust /eth03 / Route/ trust-vr | *.*.*.45 192.168.100.1 -------------DMZ / eth02 / Route /trust-vr ----------------- | | 192.168.100.254 | | | netscreen-50|-----------------------------| Webサーバ | | | .| | ------------- ----------------- | Trust / eth01 / NAT / trust-vr | 192.168.4.254 | | Switch | | Intranet *は同じセグメントです。 ここで、DMZ領域のWebサーバからルータへの通信ができずに困っています。 ルータの外側からWebサーバへのpingは応答があるのですが、 Webサーバからルータ(*.*.*.41)へのpingがタイムアウトになってしまいます。 しかし、FWのeth02をTrustにするとWebサーバからルータへのpingが通るようになります。 似たような事象の質問(http://oshiete1.goo.ne.jp/kotaeru.php3?q=1950661)があったので 参考にしたのですが、どうしてもこの部分だけが解決しません。 この事について何かお気付きの方がいらっしゃいましたら、ご教示下さると助かります。 よろしくお願い致します。
- ベストアンサー
- ネットワーク
- 外部からアクセス可能なWebサーバから、インターネット接続ができません
職場内に設置してあるグループウェアのサーバについてです。 職場内からはもちろん、外部のインターネットからも、接続して閲覧できる状態になっています。 しかし、そのグループウェアサーバからは、インターネット接続ができません。Webサイト閲覧もできなければ、外部サーバへのPingも飛びません。 (外部から本グループウェアサーバへのPingは飛ばした場合には返ってきます) 職場内には、他にも複数のWebサーバがあり、全てWindowsサーバです。 各々にグローバルIPアドレスと、固定の内部アドレスを振っており、同じNW設定になっています。 Windowsファイアーウォールや、ウイルス対策ソフトの設定も全て同様です。 他のサーバは問題なくインターネットにも接続できるのですが、グループウェアのサーバだけが接続できません。 何か考えられる原因はありますでしょうか。
- 締切済み
- ハードウェア・サーバー
- LAN内からWEBサーバへのアクセスについて
LAN側からWEBサーバの名前解決によるアクセスができずに困っております。 内向きDNSを立て、LAN内部からDMZに置かれた公開WEBサーバにURLでアクセス できる環境を作っているのですがうまくいきません。 しかし、まったくうまく行かないわけではなくHTTPSによる通信のみ 名前解決によるアクセスが可能な状況のため困っております。 上記の現象は内向きDNSを止め、WindownsのHOSTSファイルを利用して も同じ状況です。 外部からのアクセスはすべて正常です。 内部からもIPアドレスの直接入力によるアクセスはすべて正常です。 内部からのHTTPSによる名前解決は可能です。 内部からのHTTPによる名前解決ができませ。 ルータのフィルタリング機能などを疑ったのですが、 IPアドレスの直接入力からはアクセスできる事から、ここが原因と なっている可能性は低いのではないかと考えております。 私自身が疑っている点はWEBサーバに利用しているApache2.0の設定なのですが この名前解決に関する問題で設定等に疑わしき点が御座いましたらご教授頂き たいと考えております。
- 締切済み
- その他(ITシステム運用・管理)
- webサーバーについて
自宅でwebサーバーをたてたのですが、うちはルーターにサーバマシンを つないでいるので、ルータのグローバルIPアドレスに対するドメインを 無料のところで取得しました。 そこで、外部(WAN側)から自宅のwebサーバーには アドレス欄にドメイン名を入れるだけで、アクセスできるようにするために、ルータの設定で、静的IPマスカレード設定/NAT設定というところの「Webサーバを外部に公開する (エントリ番号1を使用) 」という項目にチェックを入れて、宛先IPアドレスに サーバーマシンのローカルアドレスを記入しました。 これで大丈夫なはずだと思い、別のPCから ドメイン名でサーバマシンへのアクセスを試みたのですが、 ドメイン名をアドレス欄に入れると、ルータに接続されてしまいます。 グローバルIPアドレスでのアクセスを、サーバマシンに受け渡すような 設定は、上記の方法ではダメなのでしょうか? 使ってるルータはRV-230SEというやつで、Bフレッツです。 よろしくお願いします。
- 締切済み
- ハードウェア・サーバー
- ciscoルータ892JのDNSサーバ設定について
ルータに関して初心者です。 勉強をかねてcisco892Jルータの設定を行っています。 画像にあるように、892JのスイッチングポートにVlan10とVlan20を割り当てています。 Vlan20は内部ネットワークとしてクライアントを接続し、892JのDHCP機能によりプライベートIPアドレスを割り当てています。 Vlan10はDMZに設定し、外部に公開するWebサーバを配置しています。 892JにはグローバルIPアドレス133.**.**.**を設定し、Webサーバの名前はwww.aaa.bbb.jpとします。 上位ルータからは、133.**.**.**の属するネットワーク宛ておよびaaa.bbb.jp宛てのパケットが転送されます。 このとき、外部から133.**.**.**およびwww.aaa.bbb.jpでWebアクセスがあった場合にWebサーバのトップページが表示されるよう、DNSの設定を行いたいです。 いくつかのサイトなども参考にしたのですが、よくわからないので、教えてください。 現状、クライアントから外部へはNAT機能を用いてWebアクセスなどが可能な状態です。
- ベストアンサー
- ハードウェア・サーバー
- DMZのwebサーバがLANから閲覧できない
DMZにサーバをのせようとしていますが、 うまくいきません。 どなたかアドバイスをお願いいたします。 [現象] DMZにwebサーバをのせました。 外部からはテストページの表示ができるのですが、 社内LANからテストページの表示ができません。 [環境] サーバOS :centos5.2 /etc/sysconfig/network-scripting/ifcfg-eth0 には、 gatewayの設定はしていますせん。 (ネットワーク管理者に不要だといわれたため) サーバは、 ファイアウォール・VPN・リモートアクセスなど ゲートウェイ機能搭載の中小規模オフィス向けネットワークサーバーを経由して、 外部、LANそれぞれと通信します。 [確認した事項] 下記の内容を、サーバのファイアウォールをはずして検証してみました。 ネットワークサーバのログは見られません。 (1)外部からアクセスしたとき ・pingは通る ・webテストページの表示ができる ・ネットワークサーバーのログは正常に通信していると残っている。 (ヘルプデスクに確認) (2)社内LANからアクセスしたとき ・pingが通らない ・webテストページの表示ができない ・ネットワークサーバーのログによると、DMZのサーバへ要求は投げているが、 DMZのサーバからの戻りはない。 (ヘルプデスクに確認) サーバのログは以下のとおりです。 ・正常なやりとりのログ [root@iserver ~]# tcpdump tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 21:31:46.754868 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 57592, seq 0, length 64 21:32:26.871001 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 57592, seq 0, length 64 21:31:46.870377 IP (問題のサーバのドメイン名).44291 > (LAN内のDNSのIP).domain: 41736+ PTR? (問題のサーバのIPを逆から表示したもの).in-addr.arpa. (45) 21:31:47.765841 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 48562, seq 1, length 64 21:31:47.765858 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 48562, seq 1, length 64 21:31:48.775690 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 52530, seq 2, length 64 21:31:48.775707 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 52530, seq 2, length 64 21:31:49.786146 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 15423, seq 3, length 64 21:31:49.786161 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 15423, seq 3, length 64 21:31:50.796110 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 15768, seq 4, length 64 21:31:50.796124 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 15768, seq 4, length 64 ・LANからの異常なやりとりのログ 21:35:04.456219 arp who-has (問題のサーバのIP) tell (社内のIPと思われるもの-2) 21:35:04.456241 arp reply (問題のサーバのIP) is-at (MACアドレス2)(oui Unknown) 21:35:04.456374 IP (問題のサーバのドメイン名).48609 > (LAN内のDNSのIP).domain: 42979+ PTR? (社内のIPと思われるもの-2を逆から表示したもの).in-addr.arpa. (45) 21:35:04.456493 IP (PINGを実行したLAN内マシンのIP) > (問題のサーバのIP): ICMP echo request, id 512, seq 513, length 40 21:35:04.456787 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:05.456851 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:06.456914 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:09.453100 arp who-has (LAN内のDNSのIP) tell (問題のサーバのドメイン名) 21:35:09.453151 IP (問題のサーバのドメイン名).45524 > (DNSのIP).domain: 42979+ PTR? (社内のIPと思われるもの-2を逆から表示したもの).in-addr.arpa. (45) 21:35:09.453401 arp reply (LAN内のDNSのIP) is-at (MACアドレス) (oui Unknown) 21:35:09.961830 IP (PINGを実行したLAN内マシンのIP) > (問題のサーバのIP): ICMP echo request, id 512, seq 769, length 40 21:35:09.965131 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:10.965194 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP) 21:35:11.965256 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)
- ベストアンサー
- Linux系OS
- DMZに配置したWEBサーバーからDBサーバー
以下構成の接続でWEBサーバーをDMZに配置した場合、LAN環境のセキュリティーは担保されますでしょうか WEBサーバー、DBサーバー共に2枚目のNICにLANとは別セグメントのIPを割り当て通信を行おうと考えています。 よろしくお願いいたします。 LAN 192.168.1.0/24 WEBサーバー NIC0 DMZ NIC1 192.168.11.1 DBサーバー NIC0 192.168.1.100 NIC1 192.168.11.2
- ベストアンサー
- ネットワーク
- FWを設置すれば、LOCALでポートが開いていても?
local環境で、例えばポート445が開いていたとして、 FWでNATをかけをFWで445が閉じられれば 外部から見えるNATアドレス:445を指定しても 445にはアクセス出来ないのでしょうか?
- 締切済み
- ネットワーク
補足
honjiyonさん、bshipさん、ご回答ありがとうございます。 非常に詳しくかつわかりやすい説明に感謝しています。 非常に勉強になるので、もう少し確認させてください。 1.Webサーバをaaa.aaa.xxx.jpで公開したとした場合 DNSのレコードには、 aaa.aaa.xxx.jp ⇔ 1.1.1.1(サーバのアドレス)ではなく、 aaa.aaa.xxx.jp ⇔ 1.1.1.2(ルータのアドレス)が割り当てられているということでしょうか? その場合、DMZにサーバが複数ある場合、要求されているアドレスがその中のどれに当たるのか(192.168.1.1なのか192.168.1.2なのか)は何でわかるのでしょうか? 2.今回の場合、サーバのIPアドレスは、192.168.1.1を設定し、ルータ側に 192.168.1.1 ⇔ 1.1.1.1 のNATテーブルを持たせ、変換させるということでしょうか?(サーバにはグローバルIPアドレスは設定しない?) 何度も申し訳ないですが、よろしくお願いします。