DMZ領域のWebサーバから外部にアクセスできない

前回別の部分で質問しましたが…
申し訳ないですがもう一度質問させて下さい。

現在社内LANとインターネットをFW経由で接続するべく設定を行っています。
構成は以下の図のとおりです。

　Internet
　　　 |
　　　 |
------------------
| ブロードバンドルータ |
------------------
　　　 | LAN側 *.*.*.41
　　　 |
　　　 | Untrust /eth03 / Route/ trust-vr
　　　 | *.*.*.45　　　　　　　 　　　　　　　　　　　　　　　　　 192.168.100.1
-------------DMZ / eth02 / Route /trust-vr　　-----------------
|　　　　　　　　　 | 192.168.100.254　　　　　　　　　　　 |　　　　　　　　　　　　|
| netscreen-50|-----------------------------|　　Webサーバ　　　|
|　　　　　　　　　 |　　　　　　　　　　　　　　　　　　　　　　.|　　　　　　　　　　　　|
-------------　　　　　　　　　　　　　　　　　　　　　　-----------------
　　　 | Trust / eth01 / NAT / trust-vr
　　　 | 192.168.4.254
　　　 |
　　　 |
　　Switch
　　　 |
　　　 |
　 Intranet

*は同じセグメントです。
ここで、DMZ領域のWebサーバからルータへの通信ができずに困っています。

ルータの外側からWebサーバへのpingは応答があるのですが、
Webサーバからルータ(*.*.*.41)へのpingがタイムアウトになってしまいます。

しかし、FWのeth02をTrustにするとWebサーバからルータへのpingが通るようになります。

似たような事象の質問(http://oshiete1.goo.ne.jp/kotaeru.php3?q=1950661)があったので
参考にしたのですが、どうしてもこの部分だけが解決しません。

この事について何かお気付きの方がいらっしゃいましたら、ご教示下さると助かります。
よろしくお願い致します。

No.1 ベストアンサー 回答者： Elgado 回答日時： 2006/10/10 16:43

>>Webサーバからルータ(*.*.*.41)へのpingがタイムアウトになってしまいます。

Webサーバ、ルータ共にNSが持っているネットワークなのでルーティングの問題では無く、
ポリシーが無いんだと思います。
(DMZ→Untrust)のポリシーにDMZネットワークからルータネットワークへのPingの穴が
開いているかを確認してください。

この回答へのお礼

遅くなってしまいましたが、おかげさまで解決致しました。
ありがとうございました。

方法としましては、DMZ→Untrustのポリシー設定(PING、HTTP、DNS等)の他に、
・eth02と03をそれぞれ"NAT / untrust-vr"、"Route / untrust-vr"に変更
・eth03に192.168.100.1へのMIPを設定
・ルーティング設定にて、trust-vrのデフォルトゲートウェイをuntrust-vrに、
untrust-vrのデフォルトゲートウェイをルータのIPアドレスに

それぞれ変更したところ上手く通信させる事が出来ました。
度々の質問でお手数をおかけして申し訳ありませんでした。

お礼日時：2006/10/13 17:29

No.2 回答者： oha000 回答日時： 2006/10/10 22:58

これだけの情報では推測の域をでませんが、可能性としてはNo1で回答されている事象が高いです。

このようなときはまず、FireWall（今回はNetScreen）のログを見ましょう、denyされている等手がかりが記録されている可能性が高いです。

この回答へのお礼

回答ありがとうございます。
ログを参照してみたのですが、特にこれといった情報は記載されていませんでした。

そのかわり、No.1にてお返事した内容で解決する事が出来ました。
ありがとうございました。

お礼日時：2006/10/13 17:31