はじめまして。ネットワークエンジニアを目指し、勉強のためDDNSで固定IPを持たず自宅WEBサーバを立てています。
まだ初心者で、設定がよくわからないため、よろしければご教示ください。もしコミュニティでこのような初心者的質問がふさわしくないようであれば申し訳ございません。
固定IPを持っていないので、下図【現在の構成】のように、インターネットからWEBサーバへのアクセスは、DDNSとルータのポートフォワーディング機能で、プライベートアドレスのWEBサーバに転送されるようにしています。
そしてこの度、興味からファイアウォール(Fortigate60)を購入し、下図【将来の構成】のような構成にしたいと思っています。
固定IPを取得すれば簡単だと思いますが、でもこのまま固定IPは取得せず今まで通りDDNSで運用してみたいのです。
そのような場合、ルータ、ファイアウォール、及びPCやWEBサーバ用PCにはどのようなネットワーク設定をしてやればよいのでしょうか?
ルータにもファイアウォールにもポートフォワーディング・ルーティング機能があり、どのようにIPアドレス、ゲートウェイアドレス、ポート転送、静的ルーティング等の設定してやればよいのか、複雑でよくわからなく困っています。
【現在の構成】
Internet−[ADSLモデム付ルータ]−[HUB]−[PC]
|
[WEBサーバ]
・ルータ(AtermDR202)のLAN側は192.168.0.1です。
・LAN側の機器には全て192.168.0.Xを割り当てています。
・PC、WEBサーバ用PCのデフォルトゲートウェイ設定は192.168.0.1(ルータのLAN側)です。
・ルータはPPPoEブリッジの機能有
【将来の構成】
Internet−[ADSLモデム付ルータ]−[F/W]−LAN側:PC
|
DMZ側:WEBサーバ
・ファイアウォール(Fortigate60)は
LAN側ポート×4、WAN側ポート×2、DMZポート×1
を備えています。
ファイアウォールを設置する意味など、ツッコミどころはあるかもしれませんが、どうぞよろしくお願いします。
まだ初心者で、設定がよくわからないため、よろしければご教示ください。もしコミュニティでこのような初心者的質問がふさわしくないようであれば申し訳ございません。
固定IPを持っていないので、下図【現在の構成】のように、インターネットからWEBサーバへのアクセスは、DDNSとルータのポートフォワーディング機能で、プライベートアドレスのWEBサーバに転送されるようにしています。
そしてこの度、興味からファイアウォール(Fortigate60)を購入し、下図【将来の構成】のような構成にしたいと思っています。
固定IPを取得すれば簡単だと思いますが、でもこのまま固定IPは取得せず今まで通りDDNSで運用してみたいのです。
そのような場合、ルータ、ファイアウォール、及びPCやWEBサーバ用PCにはどのようなネットワーク設定をしてやればよいのでしょうか?
ルータにもファイアウォールにもポートフォワーディング・ルーティング機能があり、どのようにIPアドレス、ゲートウェイアドレス、ポート転送、静的ルーティング等の設定してやればよいのか、複雑でよくわからなく困っています。
【現在の構成】
Internet−[ADSLモデム付ルータ]−[HUB]−[PC]
|
[WEBサーバ]
・ルータ(AtermDR202)のLAN側は192.168.0.1です。
・LAN側の機器には全て192.168.0.Xを割り当てています。
・PC、WEBサーバ用PCのデフォルトゲートウェイ設定は192.168.0.1(ルータのLAN側)です。
・ルータはPPPoEブリッジの機能有
【将来の構成】
Internet−[ADSLモデム付ルータ]−[F/W]−LAN側:PC
|
DMZ側:WEBサーバ
・ファイアウォール(Fortigate60)は
LAN側ポート×4、WAN側ポート×2、DMZポート×1
を備えています。
ファイアウォールを設置する意味など、ツッコミどころはあるかもしれませんが、どうぞよろしくお願いします。
|
|
|
|
コメント(13)
皆さまコメントどうも有難うございます。参考になります。
構成図では簡略化しましたが、LAN側には3台のPCがありまして、勉強目的の他に、それぞれにアンチウイルスソフトを購入するのは高いので、1台のF/Wのアンチウイルス機能で対応しようという意図もあり購入しました。そしたら各PCはもっと安いウィルス対策ソフトかフリーソフトでやろうかなと。
本体は6万ちょいで、オプションのアンチウイルスとIDS機能を付け12万くらいでした。(痛…)
NATのIPの更新はフリーソフトの「DiCE」を利用してます。
WEBサーバですが、ホームページの他にFTPやWebDAVも行っています。これからWEBアプリケーションやその他サービスも構築しようと考えています。
先ほどNetscreenですが少し参考になるサイトが見つかりました。
http://sc-comtex.sse.co.jp/products/netscreen/sales/kouseirei.html
F/WのトランスペアレントモードはIP的に透過してしまうので、NATモードでやってみようと思っています
お教えいただいた中で、まずはルータのPPPoEブリッジとセグメント分けで試してみたいと思います。
構成図では簡略化しましたが、LAN側には3台のPCがありまして、勉強目的の他に、それぞれにアンチウイルスソフトを購入するのは高いので、1台のF/Wのアンチウイルス機能で対応しようという意図もあり購入しました。そしたら各PCはもっと安いウィルス対策ソフトかフリーソフトでやろうかなと。
本体は6万ちょいで、オプションのアンチウイルスとIDS機能を付け12万くらいでした。(痛…)
NATのIPの更新はフリーソフトの「DiCE」を利用してます。
WEBサーバですが、ホームページの他にFTPやWebDAVも行っています。これからWEBアプリケーションやその他サービスも構築しようと考えています。
先ほどNetscreenですが少し参考になるサイトが見つかりました。
http://sc-comtex.sse.co.jp/products/netscreen/sales/kouseirei.html
F/WのトランスペアレントモードはIP的に透過してしまうので、NATモードでやってみようと思っています
お教えいただいた中で、まずはルータのPPPoEブリッジとセグメント分けで試してみたいと思います。
ヤッパリ初心者だからか、自宅でのネット構築をしたことがないからか、読めば読むほど不思議だ・・・。
<抜粋>
☆グローバルアドレスを、プライベートアドレスにマッピング(1対1もしくは1対Nの固定変換)します。
っと記載されているからには、Internetに見せているサーバに対するIPアドレスの見せ方は「1:1」ですよね。
そうすると、PCに割り当てる、アドレスって平気なの?
今のルータなら、多分できるんだろうナァ・・・・・・・。
80/tcpできたら、特定のローカルIPとマッピングさせているのかな・・・。
ちなみに、フォーティゲートにしても、フォーティネットや代理店に年間保守料を払わないと、ウィルスのパターンアップデートができなかったような気がするが・・・。
http://sc-comtex.sse.co.jp/products/netscreen/sales/kouseirei_nat.html
Trustゾーンのネットワークアドレスを公開しないので、セキュリティが高まります。
ステートフルインスペクション型のパケットフィルタでTrustからUntrustゾーンへの通信を制御。通信を許可した場合は、送信元のアドレスとポート番号を変換(NAT)処理。 外側からは、Trustのアドレスは分からない。つまり外側から通信を開始できません。 外側からTrustゾーンの端末にアクセスしたいときは、MIP(Mapped IP)またはVIP(Virtual IP)機能を用います。 グローバルアドレスを、プライベートアドレスにマッピング(1対1もしくは1対Nの固定変換)します。
<抜粋>
☆グローバルアドレスを、プライベートアドレスにマッピング(1対1もしくは1対Nの固定変換)します。
っと記載されているからには、Internetに見せているサーバに対するIPアドレスの見せ方は「1:1」ですよね。
そうすると、PCに割り当てる、アドレスって平気なの?
今のルータなら、多分できるんだろうナァ・・・・・・・。
80/tcpできたら、特定のローカルIPとマッピングさせているのかな・・・。
ちなみに、フォーティゲートにしても、フォーティネットや代理店に年間保守料を払わないと、ウィルスのパターンアップデートができなかったような気がするが・・・。
http://sc-comtex.sse.co.jp/products/netscreen/sales/kouseirei_nat.html
Trustゾーンのネットワークアドレスを公開しないので、セキュリティが高まります。
ステートフルインスペクション型のパケットフィルタでTrustからUntrustゾーンへの通信を制御。通信を許可した場合は、送信元のアドレスとポート番号を変換(NAT)処理。 外側からは、Trustのアドレスは分からない。つまり外側から通信を開始できません。 外側からTrustゾーンの端末にアクセスしたいときは、MIP(Mapped IP)またはVIP(Virtual IP)機能を用います。 グローバルアドレスを、プライベートアドレスにマッピング(1対1もしくは1対Nの固定変換)します。
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
ネットワークエンジニア 更新情報
-
最新のアンケート
ネットワークエンジニアのメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- ハレプロ セッション♪
- 453人
- 2位
- 一行で笑わせろ!
- 82530人
- 3位
- 手作りのお弁当
- 363682人