プロキシからのインターネット接続 接続拒否について

お世話になります。
社内ネットワークからのプロキシサーバ経由で、インターネット（社外）接続を
しています。 特定のサイトにアクセスをすると、下記のエラー情報が
表示されてしまいます。

（例）URL
http://＜ipアドレス＞：8080／ｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘ

※エラー内容
--------------　ここから　--------------

エラー
接続拒否されました
-------------------------------------
上位サーバ側から接続拒否されました。
しばらくしてから再度お試しください。

--------------　ここまで　--------------

その特定のサイトにアクセスする理由として、ある情報を自動的（ブラウザ画面）に取得
する為にアクセスしているのですが、取得できない為 調べたいと思ってます。

社内のシステム管理者に聞いても特に制限はかけてないという回答をもらっていて
相手先にもプロキシサーバ経由で接続しても大丈夫なはずですっとは聞いてます。

これが、社内上のプロキシサーバ・FW で制限がかかっているのか
相手先のサイトにアクセスした際に、プロキシからのアクセスが制限がされてしまったのか
特定したいのですが、確認する方法を教えていただけますでしょうか

ご面倒かけますが、よろしくお願いします。

No.6 ベストアンサー 回答者： Lchan0211b 回答日時： 2012/11/21 09:41

No.4です。

> 社内上の理由であれば、502 Bad Gateway となるのかとおもってました。
> 503ということは相手先までは届いているんですかね？

Wikipediaの502の説明の
「ゲートウェイ・プロキシサーバは不正な要求を受け取り、これを拒否した。」
は、ちょっと違う(誤訳がある)と思います。

こちらの方が正確です。
http://www.studyinghttp.net/status_code#Code502

502は、要するに相手サーバから解釈しようのない変なレスポンスを
受け取ったので、レスポンスデータを正しく中継できなかったと
言う意味で返すものです。

で、503の方ですが、説明にもあるとおり一時的にサービスが利用不可
となった時に使用されるということで、様々な場合に使われます。
相手サーバがこの応答を返した可能性が高いと思いますが、
もしかするとプロキシサーバ自身のなんらかの一時的な問題でこの応答を
返したのかもしれません。
もしかすると、社内のすべてのリクエストがプロキシサーバ経由で
アクセスしているので、相手サーバは1つのIPから大量のリクエスト
が来たということで503で拒否しているのかもしれません。

少なくともプロキシサーバと相手サーバの間でなんらかの問題が
発生したということは言えると思うので、後は社内のシステム管理者
(プロキシサーバの管理者)にこの情報を渡して、相手サーバとの
やりとりの状況を直接調べてもらうしかないと思います。

自分でもう少し調べるなら、例えばURLのパス記述部分(/xxxxxxxxxxxx)
やポート番号(8080)をあえてエラーとなる存在しないものに変えて、
どのような応答が帰ってくるのかを見ると、何かわかるかもしれません。

例えば、パス記述部分を存在しないものに変えた時に503でなく404が
返ってくるようなら、相手サーバへの接続自体は問題ないが、
対象のパスを相手サーバが処理する場合に発生する問題であると
言えると思います。

この回答へのお礼

何度もご対応ありがとうございました。

一度実行してみます。

ご協力感謝いたします。

お礼日時：2012/11/21 09:48

No.7 回答者： OCNセキュリティ編集部 職業：セキュリティアドバイザー 回答日時： 2017/12/06 16:16

回答者とのやり取りを見ていると、社外からのアクセスでは問題なくWebサイトを見ることができるとのこと。

そうすると、会社の環境あるいはアクセス先の対応の問題ということになりそうです。

プロキシは企業などがインターネットアクセスをする際には便利な機能ですが、アクセス元を隠蔽して悪事を働く際にも活用されます。このため、アクセス先がプロキシからのアクセスを遮断している可能性もあります。また、プロキシサーバ側の設定不備などが原因ということもあり得ますので、質問者の方がネットワーク管理者やシステム担当者に、これまで調べたことを添えて相談すれば、解決が早いようにも思います。

No.5 回答者： Lchan0211b 回答日時： 2012/11/19 23:01

No.4です。

> 可能でした。
> ということは、社内システム側の問題という判断でいいんでしょうか

サーバ側の問題である可能性はかなり減りましたが、
社内システム側の問題であるという断定もできません。
もしかすると、相手サーバがプロキシ経由のアクセスかどうかを
判断して意図的に拒否しているのかもしれません。
そのようなアクセス制限をかけていないか、可能であれば
相手サーバの管理者に問い合わせた方がよいと思います。

> IE8で確認する方法はありますでしょうか

紹介した機能はIE9からの追加機能ですので、IE8では使えません。
GoogleChromeの最新版をインストールすれば、紹介した機能と
同様の機能がDeveloper ToolsのNetworkタブにあります。
(参考)
http://news.mynavi.jp/column/ide/102/index.html


ただ、「上位サーバ側から接続拒否されました。」という
エラーメッセージから、なんとなく相手サーバからのエラー応答を
プロキシサーバが適当に変換してブラウザに返却しているような
気がします。このエラー画面のどこかにステータスコードが表示
されているなら、それが相手サーバが返却したステータスコード
だと思います。

とりあえず、ブラウザにどのようなステータスコードが
帰ってきているかを確認したら、社外からのアクセスは
問題なかったという情報とともに、もう一度社内のシステム管理者
に問い合わせて、もう少し詳しく見てもらった方がよいと
思います。プロキシサーバでアクセス履歴を取っていれば、
プロキシと相手サーバの間の動作が詳しくわかるはずです。

この回答への補足

度々の回答ありがとうございます。

相手側がプロキシサーバ経由でのアクセス制限がないかどうかは
確認して見ます。会社のシステム管理者にも情報を伝えたいと思います。

プロキシサーバでのログについては、アクセス履歴はとっていません。

また、教えて頂いたデベロッパーツールにて、早速Ｃｈｒｏｍｅで実行してみました。
経過報告と共に、改めて疑問点を確認させてください。

＜Headers＞
Request URL:http://＜IPアドレス＞:8080/ｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘｘ
Request Method:GET
Status Code:503 Service Unavailable

Request Headers
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Charset:Shift_JIS,utf-8;q=0.7,*;q=0.3
Accept-Encoding:gzip,deflate,sdch
Accept-Language:ja,en-US;q=0.8,en;q=0.6
Cache-Control:max-age=0
Host:＜IPアドレス＞:8080
Proxy-Connection:keep-alive
User-Agent:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11

Query String Parametersview URL encoded
sid:wimage-p->service
rem:all
key:ｘｘｘｘｘｘ-ｘｘｘｘｘｘ　※消してます
lat:ｘｘ.ｘｘｘｘｘ　※消してます
lon:ｘｘｘ.ｘｘｘｘｘ　※消してます

Response Headersview source
Cache-Control:no-store
Content-Length:577
Content-Type:text/html; charset=EUC-JP
Date:Mon, 19 Nov 2012 23:18:37 GMT
Proxy-Connection:close
Server:CacheServer(CS Series)
---------------------ここまで--------------------

上記情報が返ってきました。

HTTPステータスコードから、503となっていますので
”503 Service Unavailable
サービス利用不可。サービスが一時的に過負荷やメンテナンスで使用不可能である。
例として、アクセスが殺到して処理不能に陥った場合に返される。

と分かったのですが、

社内上の理由であれば、502 Bad Gateway となるのかとおもってました。

503ということは相手先までは届いているんですかね？

なんかよくわかんなくなってきました・・・

補足日時：2012/11/20 10:10

No.4 回答者： Lchan0211b 回答日時： 2012/11/16 23:52

> これが、社内上のプロキシサーバ・FW で制限がかかっているのか

> 相手先のサイトにアクセスした際に、プロキシからのアクセスが制限がされてしまったのか
> 特定したいのですが、確認する方法を教えていただけますでしょうか

まずは、自宅PCやネカフェ等からそのURLに接続して
アクセスできるかどうか確認すれば、
サーバ側の問題か社内システム側の問題か切り分け
できると思います。

それと、エラーになった場合は、HTTPステータスコード等の
エラー原因を確認すべきです。

IE9なら、[ツール]-[F12開発者ツール]を起動し、[ネットワーク]タブを表示し、
[キャプチャの開始]ボタンを押してから問題サイトにアクセスすれば、
結果列に3桁の数字かまたは「中断」と表示されます。

「中断」と表示された場合は、TCP/IPレベルのコネクション接続で
なんらかのエラーが発生したことを表します。
この場合、社内システム等通信経路の問題か相手サーバの入り口の問題の可能性が
高いです。URLのホスト名、IPアドレス、ポート番号が誤っているのもこのケースです。

3桁の数字が表示された場合はHTTPステータスコードを意味します。
HTTPステータスコードは、
http://ja.wikipedia.org/wiki/HTTP%E3%82%B9%E3%83 …
を参照してください。
この場合、相手サーバへの接続は成功しているが、相手サーバが
なんらかの失敗応答を返してきたことを表します。
これは、社内システムや通信経路の問題ではなく、相手サーバの問題か
URLパス記述誤りやアクセス権なし等の可能性が高いです。

この回答への補足

お礼が遅れましてすいませんでした。

ご回答いただいてありがとうございました

>まずは、自宅PCやネカフェ等からそのURLに接続して
>アクセスできるかどうか確認すれば、
>サーバ側の問題か社内システム側の問題か切り分け
>できると思います。

可能でした。
ということは、社内システム側の問題という判断でいいんでしょうか

>IE9なら、[ツール]-[F12開発者ツール]を起動し、[ネットワーク]タブを表示し、
>[キャプチャの開始]ボタンを押してから問題サイトにアクセスすれば、
>結果列に3桁の数字かまたは「中断」と表示されます。

利用しているＰＣがＸＰを利用してまして、ＩＥ9にあげられません。

IE8で確認する方法はありますでしょうか

もし他の確認・対応方法がございましたら、ご指導ください。

ごめんどうかけますが、よろしくお願いいたします。

補足日時：2012/11/19 10:31

No.3 回答者： mimazoku_2 回答日時： 2012/11/16 18:23

８０８０ポートで、こんな情報が出てきました。

【wikiより引用】
8080/TCP HTTP alternate (http_alt)—commonly used for Web proxy and caching server, or for running a Web server as a non-root user 公式
8080/TCP Apache Tomcat 非公式
8080/UDP FilePhile Master/Relay 非公式


【参考】

TCPやUDPにおけるポート番号の一覧（wikiペディア）
http://ja.wikipedia.org/wiki/TCP%E3%82%84UDP%E3% …

ポート8080を使ったWebの閲覧を、会社がブロックする理由
http://oshiete.goo.ne.jp/qa/3721464.html


ということで、通常のブロッキング対象となっているのではないかな？
ポート番号が８０８０って、随分と聞き覚えがある番号だなって思ったから・・・。
かなりベーシックな番号だと思う。

原因は、ポート番号と思われます。
他の番号だと、いけると思うよ。（ウチの会社でも使っていなかったと思う。）

この回答へのお礼

お礼が遅れましてすいませんでした。
ご回答ありがとうございました。

情報ありがとうございました。

参考にさせていただきます。

お礼日時：2012/11/19 09:25

No.2 回答者： mimazoku_2 回答日時： 2012/11/16 18:16

社内のシステム管理者に確認してもらってください、マシンを！

ポート番号が表示されていますが、ひょっとして、相手サーバーが、特定ポートへの送信を嫌っているのかな？

＞上位サーバ側から接続拒否されました。
う～ん、だったら、社内のゲートウェイ辺りがいっちょ噛みしてるのかな？

この回答への補足

お礼が遅れましてすいませんでした。
ご回答ありがとうございました。

>う～ん、だったら、社内のゲートウェイ辺りがいっちょ噛みしてるのかな？

確かにその可能性が一番高そうです。

一度 システム管理者に確認してみます。

補足日時：2012/11/19 09:34

No.1 回答者： e_16 回答日時： 2012/11/16 15:14

サイトの管理者に聞く。

この回答への補足

確かにそうなんですけどが・・・

できれば、ある程度 内容を把握してから
聞きたいとはおもってまして・・・

補足日時：2012/11/16 15:38