平成23年秋期午後問5 設問3 NAPTについて
広告
きみじまさん
(No.1)
https://www.ap-siken.com/kakomon/23_aki/pm05.html
他のスレもみましたが、
設問3でルーター2をブリッジに設定し、同じネットワークとするという答えは理解したのですが、これって普通なんでしょうか?
ノートPCからNAS宛ての通信するのにルーター1のグローバルIPアドレスまでしか通信がいかないということですが、これって静的NAPTをルーター1が使っていないという前提としての対処法なんでしょうか。
私が考えたのは、ルーター1のグローバルIPアドレスをNASのプライベートアドレスとペアで静的NAPTをつかい、NATテーブルに登録しておけば、PCからグローバルIPアドレス宛の通信が来たときにルーターがNAPTテーブルで変換して転送するので、通信は届くと思ったんですが。
もちろん他のPCの分のグローバルIPアドレスは増やさないといけないですが。
というか一般的に他のLANから使用されるサーバーがあるLANはサーバー用に静的NATを使うのが普通だと思っていました。
非IT職です。よろしくお願いします。
他のスレもみましたが、
設問3でルーター2をブリッジに設定し、同じネットワークとするという答えは理解したのですが、これって普通なんでしょうか?
ノートPCからNAS宛ての通信するのにルーター1のグローバルIPアドレスまでしか通信がいかないということですが、これって静的NAPTをルーター1が使っていないという前提としての対処法なんでしょうか。
私が考えたのは、ルーター1のグローバルIPアドレスをNASのプライベートアドレスとペアで静的NAPTをつかい、NATテーブルに登録しておけば、PCからグローバルIPアドレス宛の通信が来たときにルーターがNAPTテーブルで変換して転送するので、通信は届くと思ったんですが。
もちろん他のPCの分のグローバルIPアドレスは増やさないといけないですが。
というか一般的に他のLANから使用されるサーバーがあるLANはサーバー用に静的NATを使うのが普通だと思っていました。
非IT職です。よろしくお願いします。
2023.08.23 21:44
陽射さん
★AP ブロンズマイスター
(No.2)
>これって静的NAPTをルーター1が使っていないという前提としての対処法なんでしょうか。
基本的にはDMZでローカルIPで公開する構成以外はないものと考えて良いです。静的NAPTを作るのはFWに穴をあけるのと同等のセキュリティリスクが伴います。
静的NAPTは外部からの不正アクセスの可能性を生みます。
たとえば、NASが外部からの攻撃でマルウェアに感染すればどうなるでしょうか?同一セグメントに設置されたPCに被害が及ぶのは想像に難くないです。
2023.08.23 23:54
jjon-comさん
★AP プラチナマイスター
(No.3)
この投稿は投稿者により削除されました。(2023.08.24 01:11)
2023.08.24 01:11
jjon-comさん
★AP プラチナマイスター
(No.4)
ご質問のイメージが分かりませんでした。
図1には具体的なIPアドレス例が与えられているので、
その値で例示していただけると回答できるかもしれません。
NATであるなら どのIPアドレス同士を、
NAPTであるなら どのIPアドレス+ポート番号 同士を、
ルータ1の静的テーブルに登録すると考えていらっしゃるのですか?
これも分からなかったです。/28 なので
xxx.yyy.zzz.244、xxx.yyy.zzz.245、xxx.yyy.zzz.246
の3つは図1で用いることができますが、
これをどう使うと考えていらっしゃるのですか?
No.2で回答があったように、ノートPC1、ノートPC2からだけでなく、
インターネットからNASにパケットが到達するリスクは生じるでしょう。
図1には具体的なIPアドレス例が与えられているので、
その値で例示していただけると回答できるかもしれません。
> 私が考えたのは、ルーター1のグローバルIPアドレスを
> NASのプライベートアドレスとペアで静的NAPTをつかい、
> NATテーブルに登録しておけば、
NATであるなら どのIPアドレス同士を、
NAPTであるなら どのIPアドレス+ポート番号 同士を、
ルータ1の静的テーブルに登録すると考えていらっしゃるのですか?
> もちろん他のPCの分のグローバルIPアドレスは増やさないといけないですが。
これも分からなかったです。/28 なので
xxx.yyy.zzz.244、xxx.yyy.zzz.245、xxx.yyy.zzz.246
の3つは図1で用いることができますが、
これをどう使うと考えていらっしゃるのですか?
> 一般的に他のLANから使用されるサーバーがあるLANは
> サーバー用に静的NATを使うのが普通だと思っていました。
No.2で回答があったように、ノートPC1、ノートPC2からだけでなく、
インターネットからNASにパケットが到達するリスクは生じるでしょう。
2023.08.24 01:12
きみじまさん
(No.5)
2人の方ありがとうございます。
DMZじゃないからだめということなんですかね。
ルーター1にFW機能があり、ルーター2からのパケットしか通さないというような設定をしていれば私の案の静的NAPTでいけるとおもったんですが。。。
質問に数値をいれてみました。わかりにくくてすみません。
https://www.ap-siken.com/kakomon/23_aki/pm05.html
他のスレもみましたが、
設問3でルーター2をブリッジに設定し、同じネットワークとするという答えは理解したのですが、これって普通なんでしょうか?
ノートPCからNAS宛ての通信するのにルーター1のグローバルIPアドレス(xxx.yyy.zzz.242)までしか通信がいかないということですが、これって静的NAPTをルーター1が使っていないという前提としての対処法なんでしょうか。
私が考えたのは、ルーター1のグローバルIPアドレス(xxx.yyy.zzz.242)をNASのプライベートアドレス(192.168.0.201)とペアで静的NAPTでNATテーブルにあらかじめ登録しておけば、PCからグローバルIPアドレス(xxx.yyy.zzz.242)宛の通信が来たときにルーターがNAPTテーブルで変換して転送するので、通信は届くと思ったんですが。
もちろんこの場合、NASがグローバルIPアドレス(xxx.yyy.zzz.242)を占有することになるので他のデスクトップPCがインターネットの世界に出るときは、グローバルIPアドレスが足りなくなるので、新たに増やさないといけないですが。
というか一般的に他のLANから使用されるサーバーがあるLANはサーバー用に静的NATを使うのが普通だと思っていました。
非IT職です。よろしくお願いします。
DMZじゃないからだめということなんですかね。
ルーター1にFW機能があり、ルーター2からのパケットしか通さないというような設定をしていれば私の案の静的NAPTでいけるとおもったんですが。。。
質問に数値をいれてみました。わかりにくくてすみません。
https://www.ap-siken.com/kakomon/23_aki/pm05.html
他のスレもみましたが、
設問3でルーター2をブリッジに設定し、同じネットワークとするという答えは理解したのですが、これって普通なんでしょうか?
ノートPCからNAS宛ての通信するのにルーター1のグローバルIPアドレス(xxx.yyy.zzz.242)までしか通信がいかないということですが、これって静的NAPTをルーター1が使っていないという前提としての対処法なんでしょうか。
私が考えたのは、ルーター1のグローバルIPアドレス(xxx.yyy.zzz.242)をNASのプライベートアドレス(192.168.0.201)とペアで静的NAPTでNATテーブルにあらかじめ登録しておけば、PCからグローバルIPアドレス(xxx.yyy.zzz.242)宛の通信が来たときにルーターがNAPTテーブルで変換して転送するので、通信は届くと思ったんですが。
もちろんこの場合、NASがグローバルIPアドレス(xxx.yyy.zzz.242)を占有することになるので他のデスクトップPCがインターネットの世界に出るときは、グローバルIPアドレスが足りなくなるので、新たに増やさないといけないですが。
というか一般的に他のLANから使用されるサーバーがあるLANはサーバー用に静的NATを使うのが普通だと思っていました。
非IT職です。よろしくお願いします。
2023.08.24 08:22
陽射さん
★AP ブロンズマイスター
(No.6)
>設問3でルーター2をブリッジに設定し、同じネットワークとするという答えは理解したのですが、これって普通なんでしょうか?
ルータ2は、無線LANルータです。殆どの無線LANルータにはAPモードというルータを使用しない、APとしてだけ動作させる機能が備わっています。
ブリッジ機能とは単にAPとして利用することを意味します。上位にルータが存在すれば、APとして利用することは普通にあります。
>ノートPCからNAS宛ての通信するのにルーター1のグローバルIPアドレス(xxx.yyy.zzz.242)までしか通信がいかないということですが、
>これって静的NAPTをルーター1が使っていないという前提としての対処法なんでしょうか。
その認識で間違いありません。
前回も記した通り、静的NAPTは、DMZでない限り前提として記載することはまずありません。
導入している場合、注釈が入ります。
また、静的NAPT追加による影響度の評価やアクセスリストなどのアクセス制御が必要となります。
私が過去扱ったPJでFWに静的NAPTとフィルタリングルールを追加したケースはありましたが、PCセグメントとは別セグメントに変換先を指定しておりました。
確かにFW機能などでアクセス制御をすれば不正アクセスの可能性は限りなく低くなりますが、やはり転送先がPCと同一セグメントというのは、違和感があります。
>NASがグローバルIPアドレス(xxx.yyy.zzz.242)を占有することになるので他のデスクトップPCがインターネットの世界に出るときは、グローバルIPアドレスが足りなくなるので、新たに増やさないといけないですが。
NAPTは、1つのグローバルIPアドレスを複数のPCの同時アクセスを実現するの設定となります。つまり1対多が実現できます。
PCから送出されたパケットがルータ1を出るときに使用する送信元ポート番号でLAN内のPCを識別しています。
ルータ1で静的NAPTで使用するポート番号と重複せず、ルータ1の送信元ポート番号に不足が生じなければ単一グローバルIPアドレスでも実現可能です。
>一般的に他のLANから使用されるサーバーがあるLANはサーバー用に静的NATを使うのが普通だと思っていました。
社内LANのサーバへのアクセスをインターネット経由で認めるケースとしては、IPsecなどのインターネットVPNでのアクセスが一般的な手法となります。在宅ワーク、拠点間通信などがこちらに該当します。
2023.08.25 01:16
きみじまさん
(No.7)
>陽射さん
自身のPJ事例も踏まえて、大変わかりやすい説明ありがとうございました。
DMZでないから静的NAPTはあまり使われないということですね。理解しました。
ありがとうございました!
2023.08.26 14:15
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告