お世話になります。wwwサーバを公開予定なのですが、ご存知の方がいらっしゃれば是非教えて下さい。
下記の様な配線の時、
質問1)
RouterにIPフィルターの設定は必要でしょうか?
(Firewallの機能とダブるのでは・・・)
質問2)
Firewallの方にPPPoEとNATの機能があるので
Router自体そもそも不要でしょうか?(設置しておくとFirewallの負荷分散になり、全体のスループットなどが上がるのでしょうか・・・)
Firewall(Netscreen25)マニュアルの配線例などを見ると以下の様になっているのですか、ルーターにもIPフィルターが必要なのか、そもそもルーター自体が必要なのかがいまいち分かりません。
詳しい方いらっしゃいましたら、ご教授を宜しくお願い致します。
The Internet
┃
┃
光モデム
┃
Router (PPPoE/IP masquerade/YAMAHA RTX1100)
┃
Firewall (IP filter/Netscreen25)
┃
公開 www server(Linux)
No.1ベストアンサー
- 回答日時:
サーバに関してはあまり詳しくないのでインフラ周りで気付いたところを
ツラツラと。
回答1)
ルータのIPフィルタリングとF/Wのポリシーは別物。役割分担をする事。
IPフィルタリングはせいぜいIPパケットのSrc.Dst.、TCPポート、TOSビットあたり
で引っ掛けるだけ。
F/Wポリシーの場合、TCP通信の行きと帰りを区別する。
(TCP/ACKがいきなり来ても通らないはず。Src.Dst等がポリシーに穴あけされていても)
で、やりたい要件にもよるが、どちらかの機能で十分だと考えられる。
回答2)
このような単純な構成でNetscreen25であれば全くオーバスペック、負荷分散と
言うほどでもない。
仰る通りNetscreenににPPPoEとNATがあるのでルータは要らない。
もっと言うとモデムも要らない(もちろん設定は追加が必要)
この構成で全体のスループットのボトルネックはWAN回線なので拠点側を
いくら変えようとも"外部とのスループット"は上がらない。
で、LAN側に公開サーバしかいないのであれば(クライアントPC等)、F/Wで必要最低限の
穴開けだけして設置すれば問題ないはず。
Elgadoさん、大変参考になります。ありがとうございます。この様な単純な構成の場合は、(マニュアルの記載例がどうあれ)現状はオーバースペックな状態なのですね。了解しました。ちなみに上記の様な配線でいく場合(Firewallにポリシーを適用して運営していく場合)は、送信元のグローバルIPアドレスはRouterでNATされてしまうのですが、Firewall側でも送信元アドレスをきちんと把握できるものなのでしょうか?度々恐れ入りますが宜しくお願い致します。m(__)m
No.4
- 回答日時:
補足について
仰るとおり必要ないです。
ルータでIPマスカレードして80番のみサーバに紐付けているとします。
外部の人は結局、ルータのグローバルアドレスに目がけて
アクセスしてくるわけですから。
その時の宛先ポート番号を見て80番だったらWebサーバにIPマスカレードします。
それ以外のポートについてはルータへのアクセスになるわけですから、結局、LAN側には行かれません。
この回答への補足
そうするとIPマスカレードをするルーターがあれば、外部からの攻撃を想定したFireWallを設置する必要も無くなりますか?それともIPマスカレードをしてるとはいえFireWallを設置して置かないと防げない様な種類の不正なアクセス・攻撃とかがあるのでしょうか?
補足日時:2006/10/06 08:50No.3
- 回答日時:
>>Firewall側でも送信元アドレスをきちんと把握できるものなのでしょうか?
把握できます。
この構成の場合、ルータで行うNATはLAN→WAN方向のNATだと思います。
WANからの通信はそのまま入ってきます。
WAN→LANのNATをしていたら(考えられませんが)送信元は全てルータのLANアドレスに
なります。
この回答への補足
あれっそうすると、
この配線でRouterにIPマスカレードをかけた時は、WAN→LAN方向のIPパケットは全てRouterで破棄されますよね。(静的IPマスカレード80番を除く)。そうするとRouterにもFirewallにもWAN→LAN方向を意識したIPフィルターは必要が無くなるという事でしょうか・・・。http://www.atmarkit.co.jp/fnetwork/rensai/router …
No.2
- 回答日時:
No1です。
モデムも要らないと書きましたが、キャリアの終端のインターフェースを
LAN側の機器で持っていないとダメです。
具体的に言うとNetscreenなのでイーサネットという事です。
光ケーブルで来るならメディコンでイーサネットにしてあげればよいでで。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- FTTH・光回線 グローバルIPアドレスの変更について 1 2022/04/23 05:32
- サーバー ネットワークの構成に困っています 3 2023/07/05 11:55
- FTTH・光回線 NTTからソフトバンク光への変更について 4 2023/02/27 15:14
- 固定IP Win11 アダプター設定変更にイーサネットが表示されない 1 2022/12/03 18:31
- 通信機器・周辺機器 ネットワーク分割について 3 2022/10/24 09:23
- Wi-Fi・無線LAN iPhoneのIPアドレスは機内モードをオンで変わるように、無線ルーターも何かの方法で変更できる? 2 2022/04/02 14:37
- サーバー 別サーバに構築したApache+Tomcatの連携について 2 2023/03/06 23:23
- その他(インターネット接続・インフラ) ChromeとFirefoxで現在地を正しい場所に修正する方法 2 2022/04/21 17:58
- FTTH・光回線 インターネット PC ゲームについて 契約回線のマニュアルに工場出荷時のIPアドレスが振られておりま 1 2023/04/27 21:46
- ルーター・ネットワーク機器 10Gbpsの恩恵 5 2022/11/16 15:48
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
「フォーム再送信の確認」中の...
-
ダウンロードしたアプリケーシ...
-
Windows System32 Security Hea...
-
UPnPは無効にしたほうがいいの...
-
不正ログインされました。対応...
-
winndws セキュリティ
-
windows11 サービスにSecurity ...
-
Microsoft Formsのセキュリティ...
-
デスクトップファイル同期解除
-
yahoo知恵袋にあったミラーサイ...
-
家のセキュリティのため、何を...
-
ログインの継続?
-
不正アクセス禁止法
-
子供はマイクラにサインインで...
-
Windowsでimebroker hidden win...
-
SELECT * FROM 生徒名簿 WHERE ...
-
書き込みしようとすると「不正...
-
グローバルID(GUID?)をたださら...
-
中古DVDを読み込んだだけでマル...
-
前にファイル共有ソフトで暗証...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ICMPは通るのにTCP/UDPが通らない
-
WindowsのフリーソフトでSYSLOG...
-
低価格(1~3万円程度)で購入...
-
中継ポイントのルーターはデー...
-
ネットワーク構成例の案
-
80番ポートにアクセスがきたら1...
-
YAMAHA RT58iで、ルータのログ...
-
ルータのフィルタについて
-
ルーターのIPフィルター設定に...
-
ルーターまではport80でもサー...
-
DDNSにてwebサーバーを公開した...
-
TCP/IPでの通信の仕組み(パケッ...
-
離れた営業所間のLAN接続をしたい
-
telnetの時にタイムアウトが発...
-
8個のグローバルIPをRTX1200に...
-
OP25B対策で、25番ポートを閉じ...
-
「239.255.255.250:1900」宛の...
-
プライベートIPアドレスは通信...
-
NT Kernel System(ntoskrnl.exe...
-
マルチキャストのExcludeモード...
おすすめ情報