教えてください。
外部のインターネットとの接続でなく、
内部のLAN間(セグメントが異なるAというLANとBというLAN)で以下のようなものをルータで設定する場合に、どのようなことが実現できるか、又違いを教えていただけますでしょうか?
1.マスカレード
マスカレードを使うとフィルタリングと同じことができるか?
又NATやIPマスカレードや静的マスカレード等があり、違いがいまいち分かりません。
それぞれAのセグメントのIP情報が変換されてBのセグメントに入るので、セキュリティ上良い?
2.上に関連して、プロキシやリバースプロキシというものを使うと
ブラウザで同じような効果がある?
よろしくお願いします。
No.1ベストアンサー
- 回答日時:
まずは用語をきっちり押さえておこう。
●NAT(Network Address Transfer)
ルータで送り先IPアドレスや送り元IPアドレスを変更するためのものだ。送り先IPアドレスの変更はDNAT(Destination NAT)、送り元IPアドレスの変更はSNAT(Source NAT)とも言う。
●NAPT(Network Address Port Transfer)
ルータで送り元IPアドレスと送り元ポートのペアを変更するためのものだ。IPマスカレードというとこちらを指す。静的マスカレードという場合は送り先IPアドレスと送り元ポートを変更する。
●リバースプロキシ
不特定多数のクライアントからの接続を受け付けて特定のWebサーバーに対してプロキシ動作をおこなうもの。普通の「プロキシ」はこれに対してフォワードプロキシと言い、特定のクライアントからのリクエストを受けて不特定多数のWebサーバーに変わりにリクエストに行くプロキシサーバーの事。
~~~~
セグメントAとセグメントBの間にルータを置いてLAN間接続を行う時に、どちらにどのようなセキュリティ策を施工したいかによって変わる。上記の1~3に加えて、パケットフィルターという機能でA-B間の通信制御を行う事もよく行われる。
共通事項:Aのセグメント192.168.1.0/24でBのセグメントは192.168.2.0/24。A-B間ルーターのIPアドレスはA側が192.168.1.100でB側が192.168.2.100
例1:AからB側のサーバーb(192.168.2.200)にアクセスさせたいが、サーバーbはB内からのアクセスしか許可しない。
↓
ルーターでA→BのパケットにIPマスカレードをかける。A内のパソコンa(192.168.1.50)からbにアクセスすると、aのIPアドレスがルーターで変換されてbから見るとルーターとやりとりしているように見える。この時、aから見ると192.168.1.50-192.168.2.200での通信に見え、bから見ると192.168.2.200-192.168.2.100での通信に見える。
例2:Aはインターネットに繋がっている(ゲートウェイ192.168.1.254)。Bからはルーターを介してインターネットに接続したいが、BからAの端末には一切アクセスさせたくない。AからBの端末も同じ。
↓
ルーターではNATやNAPTは行わず、フィルタリングのみ行う。192.168.2.0/24から192.168.1.0/24宛のパケットは遮断する。192.168.1.0/24から192.168.2.0/24宛のパケットも遮断する。
~~~~
リバースプロキシの話はプロキシとは何かを学んでから改めて調べていただきたい。ここでは、プロキシとルーターの違いについて説明する。
プロキシとルーターはともに2つ以上のネットワークを相互接続するための技術だが、プロキシはHTTPレベルで中継を行い、ルーターはデータリンクレベルで中継を行うものだ。具体的な例を、Aのパソコンa、ルーターまたはプロキシ、BのWebサーバーb間の通信で示す。IPアドレスは上例の通り。
プロキシ:
a
192.168.1.50
|
192.168.1.100
プロキシ
192.168.2.100
|
192.168.2.200
b
ルーター:
a
192.168.1.50
|
192.168.1.100
ルーター
192.168.2.100
|
192.168.2.200
b
さて、上の図では何も変わらないように見えるが、実際に何が違うかと言うとそれぞれの話し相手が違う。
プロキシの場合、aはルーターに対して「僕の変わりにbにHTTPアクセスしてその結果を返してくれよ」と言っている。bから見てもHTTPクライアントはaではなくルーターだ。a-ルーター間とルーター-b間の2つのTCP接続が起こる。
ルーターの場合は、aは直接bに対してHTTPアクセスする。bから見てもHTTPクライアントはaだ。a-b間のTCP接続をルーターは中継するのみとなる。
これらを押さえた上で、ルーターの場合でもSNATを噛ます事でbから見るとルーターとHTTP通信しているように見えるだとか、DNATを噛ます事でaから見るとルーターとHTTP通信しているように見えるだとか、パケットを中継するときにごにょごにょするという事を行えるようになる訳だ。
~~~~
色々書いたけど、すぐ全部を理解する必要はないので一歩一歩用語を覚えていくと良いでしょう。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- 固定IP MACアドレスはLAN内で相手を特定するアドレスですか? PCから監視カメラを閲覧するときに、セグメ 3 2022/07/23 09:04
- 固定IP Win11 アダプター設定変更にイーサネットが表示されない 1 2022/12/03 18:31
- ドライブ・ストレージ ネットワークHDD(NAS)について教えて下さい。 11 2023/03/08 11:15
- 防犯カメラ・監視カメラ・小型カメラ pr-400neポート開放 4 2023/07/31 16:07
- Windows 10 リモートデスクトップ接続 1 2022/07/12 14:30
- Wi-Fi・無線LAN USBーイーサネット変換器について 4 2022/06/19 15:16
- その他(悩み相談・人生相談) ファイル共有ソフトshareについて 1 2023/06/20 04:03
- Windows 10 インストールしたてのVirtualBoxの仮想マシンにDHCPで割り振られるIPアドレスにつきまして 1 2023/05/03 14:46
- Wi-Fi・無線LAN 工事現場のネットワーク設定 5 2023/05/30 14:35
- その他(セキュリティ) NTT東西をまたぐフレッツ光IP-VPNLANを構築するには? 1 2022/09/04 22:31
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
L3-SWをBBルータで代用できるか?
-
Windows Server のルーティング...
-
システムでいうセグメントって...
-
iPhoneでIPアドレスを変更する...
-
Dell Inspiron 14 5415 をコン...
-
Windows10におけるUSB-RS232C機...
-
JWCADのファイルをネットワーク...
-
「プロトコル」の定義について
-
ftpサーバー 接続できない
-
特定の中国のサイトに日本から...
-
8000番や8080番のポー...
-
外付けハードディスクをネット...
-
バンジージャンプのデータを貰...
-
Supermodelのエミュレーターに...
-
PCがのぞかれてないか調べる...
-
Wi-Fiに接続しているのにグルグ...
-
マザーボードにSATAのHDDを接続...
-
パソコンの「ローカル」って、...
-
Ethernetとppp
-
FTPサーバに外部から接続で...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
同一ネットワーク内の別セグメ...
-
セグメントを越えてMACアドレス...
-
DHCPサーバがBAD_ADDRESSを記録...
-
無線wifiをフロア別に敷設する...
-
ルータ・スイッチの冗長化について
-
IPアドレスのネットワーク部が...
-
MACアドレスの必要性が理解出来...
-
「レイヤ2スイッチ 異なるip...
-
内部ネットワークでのマスカレ...
-
Wake On LANにつきまして
-
ip boradcast-addressについて
-
名前解決とブロードキャスト
-
2台のPC間の通信について
-
大量のパケット
-
Windows Server のルーティング...
-
UDPのマルチキャストについて。
-
プロバイダ業者間でのデータ通...
-
”トンネルアダプター”って??
-
光メディアコンバータのスルー...
-
プロキシARPについて
おすすめ情報