DMZの構築方法、DMZとLANの関係について

Bフレッツの固定IP8個割り当ての契約をしています。
ブロードバンドルータ(Allied Tlesis AR450S)を使い、DMZ環境を構築したいのですが、うまく行かず困っています。

目的は、全てのサーバをLAN上で運用している現状に対し、(1)WebサーバをDMZに配置し、インターネットからの問い合わせに対し、LAN内に配置した(2)DBサーバから結果を返すというものです。
また、LAN内には(3)FTPサーバを残し、これまで同様に外部からアクセスできるようにします。
（サーバをLAN内に置くのが良いかどうか、セキュリティ上正しい選択なのか分かりません・・・）

（質問その１）
DMZに配置するサーバは、グローバルIPアドレスを直接割り当てて運用するものだと思っていたのですが、配置するにはプライベートIPアドレスも必要なのでしょうか？
（質問その２）
DMZに配置したサーバとLAN内に配置されたPCとでは、通常のネットワーク接続（LAN上にあるPC同士がフォルダを共有するようなこと）が可能なのでしょうか？また可能であればどのような方法があるでしょうか？
（質問その３）
廉価なブロードバンドルータが1台余っており、ルータを2台使って、中間層をDMZとする方法もあると聞きました。具体的にはどうすればよいのでしょうか？
（質問その４）
グローバルIPアドレスのうち、2つをDMZ用に、残りをLAN内のPCの外部アクセス用に、・・・などというような使い分けはできるのでしょうか？
上記AR450Sのマニュアルの設定例では全てのアドレスをDMZ化し、その１つを外に出るために共有する方法が載っていました。

なにぶん、独学でネットワークを勉強しているので、聞ける人が周りにいません・・・。
ネットワークに明るい方がいらっしゃいましたら、部分的にでも結構です。ご教授願います。
具体的な例を入れて頂けると助かります。
よろしくお願いします。

No.1 ベストアンサー 回答者： JAWS55 回答日時： 2006/12/20 15:20

１）DMZ内ではプライベートIPを使用します。

ルータがWAN側に対してNATでグローバルIPとローカルIPのマッピングを行います。ルータのNATの設定をしてください。
２）可能です。その場合はLAN-DMZ間でTCP/IPのポート137,138,139(NBT =NetBIOS over TCP/IP)をオープンしてください。
３）できます。グローバルIPのうちの一つはルータのWAN側に割り当てます。そのアドレスでLAN側のPCから外部にアクセスできるようにNATまたはIPマスカレードの設定をしてください。
>上記AR450Sのマニュアルの設定例では全てのアドレスをDMZ化し、その１つを外に出るために共有する方法が載っていました。
この設定でいいと思います。

この回答へのお礼

ありがとうございます。参考にさせて頂きます。
AR450Sのマニュアルに載っているDMZの構築方法では、DMZ内のサーバはグローバルアドレスで運用するという表現になっているんです、、、（これが混乱の元になっています）
あとは、ネットで調べたところ「NBTを使うと、サーバが乗っ取られた場合にLAN内のPCにアクセスしやすくなる」ので、「NetBEUI」がいいとも書かれていました。XPでは標準でインストールされていないようですが、この辺も探ってみようと思います。

お礼日時：2006/12/21 09:51