- ベストアンサー
DMZ領域のWebサーバから外部にアクセスできない
前回別の部分で質問しましたが… 申し訳ないですがもう一度質問させて下さい。 現在社内LANとインターネットをFW経由で接続するべく設定を行っています。 構成は以下の図のとおりです。 Internet | | ------------------ | ブロードバンドルータ | ------------------ | LAN側 *.*.*.41 | | Untrust /eth03 / Route/ trust-vr | *.*.*.45 192.168.100.1 -------------DMZ / eth02 / Route /trust-vr ----------------- | | 192.168.100.254 | | | netscreen-50|-----------------------------| Webサーバ | | | .| | ------------- ----------------- | Trust / eth01 / NAT / trust-vr | 192.168.4.254 | | Switch | | Intranet *は同じセグメントです。 ここで、DMZ領域のWebサーバからルータへの通信ができずに困っています。 ルータの外側からWebサーバへのpingは応答があるのですが、 Webサーバからルータ(*.*.*.41)へのpingがタイムアウトになってしまいます。 しかし、FWのeth02をTrustにするとWebサーバからルータへのpingが通るようになります。 似たような事象の質問(http://oshiete1.goo.ne.jp/kotaeru.php3?q=1950661)があったので 参考にしたのですが、どうしてもこの部分だけが解決しません。 この事について何かお気付きの方がいらっしゃいましたら、ご教示下さると助かります。 よろしくお願い致します。
- virgin_steele
- お礼率83% (5/6)
- ネットワーク
- 回答数2
- ありがとう数3
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
>>Webサーバからルータ(*.*.*.41)へのpingがタイムアウトになってしまいます。 Webサーバ、ルータ共にNSが持っているネットワークなのでルーティングの問題では無く、 ポリシーが無いんだと思います。 (DMZ→Untrust)のポリシーにDMZネットワークからルータネットワークへのPingの穴が 開いているかを確認してください。
その他の回答 (1)
- oha000
- ベストアンサー率20% (1/5)
これだけの情報では推測の域をでませんが、可能性としてはNo1で回答されている事象が高いです。 このようなときはまず、FireWall(今回はNetScreen)のログを見ましょう、denyされている等手がかりが記録されている可能性が高いです。
お礼
回答ありがとうございます。 ログを参照してみたのですが、特にこれといった情報は記載されていませんでした。 そのかわり、No.1にてお返事した内容で解決する事が出来ました。 ありがとうございました。
お礼
遅くなってしまいましたが、おかげさまで解決致しました。 ありがとうございました。 方法としましては、DMZ→Untrustのポリシー設定(PING、HTTP、DNS等)の他に、 ・eth02と03をそれぞれ"NAT / untrust-vr"、"Route / untrust-vr"に変更 ・eth03に192.168.100.1へのMIPを設定 ・ルーティング設定にて、trust-vrのデフォルトゲートウェイをuntrust-vrに、 untrust-vrのデフォルトゲートウェイをルータのIPアドレスに それぞれ変更したところ上手く通信させる事が出来ました。 度々の質問でお手数をおかけして申し訳ありませんでした。