内部ネットワークでのマスカレードやプロキシの利用

教えてください。

外部のインターネットとの接続でなく、
内部のLAN間（セグメントが異なるAというLANとBというLAN）で以下のようなものをルータで設定する場合に、どのようなことが実現できるか、又違いを教えていただけますでしょうか？

１．マスカレード
　　マスカレードを使うとフィルタリングと同じことができるか？
　　又NATやIPマスカレードや静的マスカレード等があり、違いがいまいち分かりません。
　　それぞれAのセグメントのIP情報が変換されてBのセグメントに入るので、セキュリティ上良い？

２．上に関連して、プロキシやリバースプロキシというものを使うと
　　ブラウザで同じような効果がある？

よろしくお願いします。


　　

No.1 ベストアンサー 回答者： anmochi 回答日時： 2013/11/05 23:50

まずは用語をきっちり押さえておこう。

●NAT（Network Address Transfer）
　ルータで送り先IPアドレスや送り元IPアドレスを変更するためのものだ。送り先IPアドレスの変更はDNAT（Destination NAT）、送り元IPアドレスの変更はSNAT（Source NAT）とも言う。

●NAPT（Network Address Port Transfer）
　ルータで送り元IPアドレスと送り元ポートのペアを変更するためのものだ。IPマスカレードというとこちらを指す。静的マスカレードという場合は送り先IPアドレスと送り元ポートを変更する。

●リバースプロキシ
　不特定多数のクライアントからの接続を受け付けて特定のWebサーバーに対してプロキシ動作をおこなうもの。普通の「プロキシ」はこれに対してフォワードプロキシと言い、特定のクライアントからのリクエストを受けて不特定多数のWebサーバーに変わりにリクエストに行くプロキシサーバーの事。

～～～～

セグメントAとセグメントBの間にルータを置いてLAN間接続を行う時に、どちらにどのようなセキュリティ策を施工したいかによって変わる。上記の１～３に加えて、パケットフィルターという機能でA-B間の通信制御を行う事もよく行われる。

共通事項：Aのセグメント192.168.1.0/24でBのセグメントは192.168.2.0/24。A-B間ルーターのIPアドレスはA側が192.168.1.100でB側が192.168.2.100

例１：AからB側のサーバーb(192.168.2.200）にアクセスさせたいが、サーバーbはB内からのアクセスしか許可しない。
↓
ルーターでA→BのパケットにIPマスカレードをかける。A内のパソコンa(192.168.1.50）からbにアクセスすると、aのIPアドレスがルーターで変換されてbから見るとルーターとやりとりしているように見える。この時、aから見ると192.168.1.50-192.168.2.200での通信に見え、bから見ると192.168.2.200-192.168.2.100での通信に見える。

例２：Aはインターネットに繋がっている（ゲートウェイ192.168.1.254）。Bからはルーターを介してインターネットに接続したいが、BからAの端末には一切アクセスさせたくない。AからBの端末も同じ。
↓
ルーターではNATやNAPTは行わず、フィルタリングのみ行う。192.168.2.0/24から192.168.1.0/24宛のパケットは遮断する。192.168.1.0/24から192.168.2.0/24宛のパケットも遮断する。

～～～～

リバースプロキシの話はプロキシとは何かを学んでから改めて調べていただきたい。ここでは、プロキシとルーターの違いについて説明する。
プロキシとルーターはともに2つ以上のネットワークを相互接続するための技術だが、プロキシはHTTPレベルで中継を行い、ルーターはデータリンクレベルで中継を行うものだ。具体的な例を、Aのパソコンa、ルーターまたはプロキシ、BのWebサーバーb間の通信で示す。IPアドレスは上例の通り。

プロキシ：
a
192.168.1.50
｜
192.168.1.100
プロキシ
192.168.2.100
｜
192.168.2.200
b

ルーター：
a
192.168.1.50
｜
192.168.1.100
ルーター
192.168.2.100
｜
192.168.2.200
b

さて、上の図では何も変わらないように見えるが、実際に何が違うかと言うとそれぞれの話し相手が違う。
プロキシの場合、aはルーターに対して「僕の変わりにbにHTTPアクセスしてその結果を返してくれよ」と言っている。bから見てもHTTPクライアントはaではなくルーターだ。a-ルーター間とルーター-b間の2つのTCP接続が起こる。
ルーターの場合は、aは直接bに対してHTTPアクセスする。bから見てもHTTPクライアントはaだ。a-b間のTCP接続をルーターは中継するのみとなる。
これらを押さえた上で、ルーターの場合でもSNATを噛ます事でbから見るとルーターとHTTP通信しているように見えるだとか、DNATを噛ます事でaから見るとルーターとHTTP通信しているように見えるだとか、パケットを中継するときにごにょごにょするという事を行えるようになる訳だ。

～～～～

色々書いたけど、すぐ全部を理解する必要はないので一歩一歩用語を覚えていくと良いでしょう。