• 締切済み

ファイアウォール 内部から外部へのポリシー

trustにインターネットを利用したいPC(web.メール、テレビ会議等)が多数あるのですが trustからuntrust間のポートはどこまて開ければいいでしょうか? 必要なポートだけ開ければいいとは思うのですが、参考までに他の会社ではどのようなポートを開けているのか 知りたく質問させていただきました。よろしくお願いします。

みんなの回答

回答No.1

ちゃんと管理する気があるのであれば、まず53, 80, 443だけ許可してみましょう。すると利用者が"xxxが利用できない" と言ってくるはずなので、そしたらxxxを会社内で利用するのが妥当かどうかを判断し、妥当だと判断したらxxxの利用に必要なポートを調べて、それを追加で許可する...を繰り返してゆけばいいでしょう。規模がさほど大きくないネットワークであれば、これで十分に対応できるはずです。 細かく管理をする気がない / できないのであれば、外部 → 内部についてポートを限定した上で、内部 → 外部は全ポートを許可するという割り切ったやり方もあります。この場合、何かのアプリケーションが使えないということはほとんど発生しませんが、逆にどんなアプリケーションでも利用できてしまう (たとえばオンラインゲームもやり放題になる) ことになりますが。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • NetScreenのtrustポート同士でフィルタ

    初歩的な質問ですみません。 NetScreen 5GTを使用しております。 デフォルトの設定だと、 Untrustポートx1 trustポート x4 となっております。 このtrustポートにつながっている4台のPC内で IPアドレスをキーとしたフィルタリングは かけられるものでしょうか? このような感じです。 PC1-->PC2 OK PC3-->PC2 OK PC4-->PC2 NG ご助言願います。

  • DMZ領域のWebサーバから外部にアクセスできない

    前回別の部分で質問しましたが… 申し訳ないですがもう一度質問させて下さい。 現在社内LANとインターネットをFW経由で接続するべく設定を行っています。 構成は以下の図のとおりです。  Internet     |     | ------------------ | ブロードバンドルータ | ------------------     | LAN側 *.*.*.41     |     | Untrust /eth03 / Route/ trust-vr     | *.*.*.45                          192.168.100.1 -------------DMZ / eth02 / Route /trust-vr  ----------------- |          | 192.168.100.254            |            | | netscreen-50|-----------------------------|  Webサーバ   | |          |                      .|            | -------------                      -----------------     | Trust / eth01 / NAT / trust-vr     | 192.168.4.254     |     |   Switch     |     |   Intranet *は同じセグメントです。 ここで、DMZ領域のWebサーバからルータへの通信ができずに困っています。 ルータの外側からWebサーバへのpingは応答があるのですが、 Webサーバからルータ(*.*.*.41)へのpingがタイムアウトになってしまいます。 しかし、FWのeth02をTrustにするとWebサーバからルータへのpingが通るようになります。 似たような事象の質問(http://oshiete1.goo.ne.jp/kotaeru.php3?q=1950661)があったので 参考にしたのですが、どうしてもこの部分だけが解決しません。 この事について何かお気付きの方がいらっしゃいましたら、ご教示下さると助かります。 よろしくお願い致します。

  • NetScreen 5gt 設定route mode trust zoneでVLANのような物をきれるか?

    NetScreen 5GTを買いました。初心者です。 NATmodeは使用しません。trustの4つインターフェースのうち3つを同じIP〈VLANの様に〉で設定し、untrustの1ポートを別セグメントのIPで切りたいと思っています。〈trustの残り1つNICは使用しません。〉このようにL3スイッチのような設定はどの様に設定するのでしょうか? また、この場合zone間の通信は出来るのでしょうか?〈ルーティングは切る必要がある?〉教えて下さい。

  • Netscreen-25でのDMZ構成

    Netscreen-25でのDMZ構成を設定しているのですが、 Netscreenのマニュアルをみてもよく分からず困っております。 ScreenOSは5.0.0r6.0です。 現在の構成は下記のようになっております。 (割振られてるIP : 210.111.222.0/28) IP16個です。   至インターネット        | -------------------- | メディアコンバータ  | --------------------             210.111.222.10(UntrustのMIPで設定)        |                       ↓        | 210.111.222.1             192.168.10.10 -------------------- 192.168.10.1    -------------------- |  netscreen-25    |----- Swith ------|  Webサーバ       | DMZ領域 --------------------             --------------------        | 192.168.1.1        | ------  |      ------ | PC |-- Switch --| PC |  社内LAN領域 ------.20     .21------ UntrustのMIPの設定は、  Mapped IP 210.111.222.10  HostIP   192.168.10.10  VRouter  trust-vr としており、PoliciesにはHTTPをPermitする事で、 インターネット側からはWebサーバを参照することができます。 で、やりたい事は、 ・社内LAN領域からWebサーバにローカルIP(192.168.10.10)でアクセスしたい ・逆にWebサーバから社内LAN領域にアクセスしたい のですが、Policiesを設定しても何ともなりません。 何か設定すればできるのか、DMZというのはそういう事はできないのか それすらも理解しておりません。 何かアドバイス、参考になるURL等ご存知の方 お返事頂けますと幸いです。宜しくお願いいたします。

  • 外部カメラ

    SIMフリー14インチノートPC ウエブ会議に利用するにあたり、内臓カメラではなく、外部カメラを接続し利用できますか ※OKWAVEより補足:「ソースネクスト株式会社の製品・サービス」についての質問です。

  • スパイウェアはファイアウォールで防げますよね?

    認識が間違っていたらごめんなさい。 スパイウェアとはPC内部の情報を外部に持ち出すというものですよね? ですがクライアント型のファイアウォールを使うとアプリごとにパケットが出て行くのを監視できて、 おまけにXPのFW機能なんかだと不必要なポートは全て閉めちゃえますよね? これだけでWEBやメールに使用するポート以外は閉められると思うのですが、 認識が甘いのでしょうか? 甘いとしたら、スパイウェアはどのように外部に情報を持ち出してしまうのでしょうか? 3ヶ月ほどそんな考えでいるのですが間違っておりますでしょうか?宜しくお願い致します。

  • 内部DNSと外部DNSについて

    内部DNSと外部DNSとはどういったものになるか教えてください。 過去の情報を確認してはみたのですがいまいちわからなく。。。 自分の中では、 内部DNS: 社内LANで考えたとき、ローカルPCからサーバにアクセスする、インターネットに出る、メールを送る際に名前解決するのに必要と思っています。 外部DNS: 外部から社内LANにアクセスする(Webサーバにアクセスしにくる、自分宛など(独自ドメイン)にメールを送るのに必要と思っています。 たとえばですが、NTTComのDNSサービス(アウトソーシング)でプライマリDNS,セカンダリDNSを提供しているのですがこのサービスは内部DNSとしても使えるし、外部DNSとしても使えるサービスになるのでしょうか? どなたかお手すきの方がいらしたらご教示ください。

  • Firewallの要否について

    会社としてインターネットを1本契約しています。 これにはパブリックIPが1つ割り当てられていますが、現状は使用していません。 公開しているようなサーバーもなく、社員は自PCからメールやインターネット閲覧時に利用するのが主用途です。 現在、インターネットのHUBからL2スイッチに直接つないでいるのですが、この間にFirewallを設置した方が良いのではないかという意見が出ています。 (現状、セキュリティに関する設備は個人PCへのエンドポイント以外はありません) ただ、明確になぜ必要かという回答がなく、判断に至っておりません。 特に公開しているサーバーもないため、無くても支障はないのではと思っていますが、この場合のリスクはどのようなものが考えられるのでしょうか。

  • windowsファイアウォールについて

    インターネットゲームを始めようと思いチュートリアルと説明を見たところポート開放の必要があるようなのですが、 私のPCはなぜかコントロールパネルにwindowsファイアウォールがありません。 ポートの開放説明を見たところwindowsファイアウォールから設定してくださいとのことで困っているのですが、 なぜ表示されていないのでしょうか? あるいはもともとないということ?? 要はポート開放ができればいいのですがwindowsファイアウォールの表示方法をご存知の方教えてください。

  • 内部から外部へのアクセスについて

    どうもこんにちは。 自分なりにいろいろと調べてみたのですが、お手上げなので質問させていただきます。 自宅サーバーを公開するため、LAN1とLAN2を構築し、LAN2で動かしているウェブサーバー(Apache)をリバースプロキシ(Apache)をつかって公開しています。インターネットもLAN2内のフォワードプロキシでインターネットに繋がっています。 インターネット---ルーター---PC1(CentOS)                     |                スイッチングハブ                     |                     |-----PC2(Windows7)                     |                     |                     ˈ-----PC3(Windows7) (PC1) ・IPマスカレードでLAN1とLAN2の構成(176.231.10.2/2X⇔176.231.15.21/2Y) ・Apacheによるリバースプロキシ(176.231.10.2/2X) ・Apacheによるフォワードプロキシ(176.231.15.21/2Y) (PC2) ・Apacheによるウェブサーバー(172.231.15.22) (PC3) ・ユーザーのPC(172.23115.23) このような構成になっており、LAN2はフォワードプロキシを通してインターネットに接続されています。ここで、LAN2内から外部メール(googleなど)を受信したいのですが、Thunderbirdでプロキシを指定しても受信することができません。正確に言えば、PC1のみ受信でき、PC2とPC3で受信を行うことができません。これはなにがいけないのでしょうか、ファイアウォールの設定でしょうか?それともApacheの設定でしょうか? 【iptablesの設定】 #インタフェース名定義 LAN=eth0 WAN=eth1 #ポート解放 iptables -A INPUT -i eth0 -s 176.231.10.0/2X -p tcp --dport 80 -j ACCEPT(HTTP) iptables -A INPUT -i eth1 -s 176.231.15.20/2X -p tcp --dport 8080 -j ACCEPT(PROXY) iptables -A INPUT -i eth1 -s 176.231.15.20/2X -p tcp --dport 25 -j ACCEPT (SMTP) iptables -A INPUT -i eth1 -s 176.231.15.20/2X -p tcp --dport 143 -j ACCEPT(IMAP) iptables -A INPUT -i eth1 -s 176.231.15.20/2X -p tcp --dport 995 -j ACCEPT(POP3S) iptables -A INPUT -i eth1 -s 176.231.15.20/2X -p tcp --dport 465 -j ACCEPT (SMTPS) 【Apacheの設定】 <IfModule mod_proxy.c> AllowCONNECT 955 ProxyRequests On ProxyVia On <Proxy 176.231.15.21:8080> Order deny,allow Deny from all Allow from 176.231.15.20、172.231.10.0 </Proxy> </IfModule> そもそも、Apacheではメールプロキシ構築は無理で、他のプロキシソフト(delegateなど)でやらなければならないのでしょうか?一応、delegateは試してみたのですが、記述方法がわからず・・・。このような記述方法で良いのでしょうか? 記述例1 -P176.231.15.21 SERVER=pop://pop.gmail.com/ RELIABLE=".,172.231.15.22" PROTOLOG="" LOGFILE=${LOGDIR}/${PORT}/log[date+%d] 記述例2 -P178.231.25.21 SERVER=pop MOUNT='* pop://pop.gmail.com/*' PERMIT='*:*:172.231.15.20' LOGFILE=${LOGDIR}/${PORT}/log[date+%d] 質問が分かりにくくなったのでまとめます。 問題1 ファイアウォール設定かApacheの設定が悪いのか。 問題2 そのどちらでもなくソフトに問題があるのか。 どちらか一方を答えたくだされば結構です。お願いいたします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する