ルーターのIPフィルター設定について

Question

お世話になります。wwwサーバを公開予定なのですが、ご存知の方がいらっしゃれば是非教えて下さい。
下記の様な配線の時、
質問１）
　RouterにIPフィルターの設定は必要でしょうか？
（Firewallの機能とダブるのでは・・・）
質問２）
　Firewallの方にPPPoEとNATの機能があるので
Router自体そもそも不要でしょうか？（設置しておくとFirewallの負荷分散になり、全体のスループットなどが上がるのでしょうか・・・）

Firewall(Netscreen25)マニュアルの配線例などを見ると以下の様になっているのですか、ルーターにもIPフィルターが必要なのか、そもそもルーター自体が必要なのかがいまいち分かりません。
詳しい方いらっしゃいましたら、ご教授を宜しくお願い致します。


The Internet
　  ┃
　  ┃
光モデム
　  ┃
Router (PPPoE/IP masquerade/YAMAHA RTX1100)
　  ┃
Firewall (IP filter/Netscreen25)
　  ┃
公開 www server(Linux)

Elgado · Accepted Answer

サーバに関してはあまり詳しくないのでインフラ周りで気付いたところを
ツラツラと。

回答１）
ルータのIPフィルタリングとF/Wのポリシーは別物。役割分担をする事。
IPフィルタリングはせいぜいIPパケットのSrc.Dst.、TCPポート、TOSビットあたり
で引っ掛けるだけ。
F/Wポリシーの場合、TCP通信の行きと帰りを区別する。
(TCP/ACKがいきなり来ても通らないはず。Src.Dst等がポリシーに穴あけされていても)
で、やりたい要件にもよるが、どちらかの機能で十分だと考えられる。

回答２）
このような単純な構成でNetscreen25であれば全くオーバスペック、負荷分散と
言うほどでもない。
仰る通りNetscreenににPPPoEとNATがあるのでルータは要らない。
もっと言うとモデムも要らない(もちろん設定は追加が必要)
この構成で全体のスループットのボトルネックはWAN回線なので拠点側を
いくら変えようとも"外部とのスループット"は上がらない。

で、LAN側に公開サーバしかいないのであれば(クライアントPC等)、F/Wで必要最低限の
穴開けだけして設置すれば問題ないはず。

Elgado · Answer

補足について
仰るとおり必要ないです。
ルータでIPマスカレードして80番のみサーバに紐付けているとします。
外部の人は結局、ルータのグローバルアドレスに目がけて
アクセスしてくるわけですから。
その時の宛先ポート番号を見て80番だったらWebサーバにIPマスカレードします。
それ以外のポートについてはルータへのアクセスになるわけですから、結局、LAN側には行かれません。

Elgado · Answer

>>Firewall側でも送信元アドレスをきちんと把握できるものなのでしょうか？
把握できます。

この構成の場合、ルータで行うNATはLAN→WAN方向のNATだと思います。
WANからの通信はそのまま入ってきます。
WAN→LANのNATをしていたら(考えられませんが)送信元は全てルータのLANアドレスに
なります。

Elgado · Answer

No1です。
モデムも要らないと書きましたが、キャリアの終端のインターフェースを
LAN側の機器で持っていないとダメです。
具体的に言うとNetscreenなのでイーサネットという事です。
光ケーブルで来るならメディコンでイーサネットにしてあげればよいでで。

ルーターのIPフィルター設定について

サーバに関してはあまり詳しくないのでインフラ周りで気付いたところを

補足について

この回答への補足

>>Firewall側でも送信元アドレスをきちんと把握できるものなのでしょうか？

この回答への補足

No1です。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング