- ベストアンサー
ファイアウォールのNAT設定について
JuniperのNetScreen-5GTを利用しています。 以下の状態を実現したいのですが、お知恵を貸していただけませんでしょうか。 ・ 複数の外部URLと複数の内部サーバをNAT変換で結びつける (URLと内部サーバは1:1対応) ・ 用意するグローバルIPは1つ ・ ユーザが入力するURLにポート番号はつけさせたくない グローバルIPは1つで、www.service1.jpにアクセスした場合は内部サーバ1を表示、www.service2.netにアクセスした場合は内部サーバ2を表示といった具合です。 グローバルIPを増やすとか、URLにポート番号を付けるなど条件を崩せば可能なことはわかるのですが、この条件だとどのような設定になるのかわかりません。 どなたかわかる方、教えていただけませんでしょうか。 NetScreen-5GTに限らず、概念的な説明や、キーワードのご提示でも構いません。宜しくお願い致します。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
http://squid.robata.org/ReverseProxy_top.html 上記URLを参照して下さい。 公開するグローバルIPへの80ポートへのアクセスを Reverse-Proxy(上記の場合はsquid)に転送(NAT変換)し squid側では、visible_hostname ディレクティブで アクセス時のURLで、割り振る内部Webサーバを判別し転送します
その他の回答 (2)
- DIooggooID
- ベストアンサー率27% (1730/6405)
> グローバルIPは1つで、www.service1.jpにアクセスした場合は内部サーバ1を表示、www.service2.netにアクセスした場合は内部サーバ2を表示といった具合です。 この時点で、矛盾しています。 アドレスを指定する場合には、www.service1.jp や www.service2.net のように URL を指定するとしても、実際にアクセスする際には、DNS にて、これらのURLを実際のIPアドレスに変換します。 グローバルIPを1つしか用意できないのであれば、www.service1.jp も www.service2.net も同じ IPにアクセスすることになり、受け側で区別することができません。
お礼
ご回答ありがとうございます。 そうですよね。受け側でどうやって判断するのかがわからず、アクセスURLとかで振り分けられるのかとか色々考えてました。でも仰る通りIPレベルじゃ無理ですよね。。。 明らかにPC1台ではさばけなそうな複数のサービスが、それぞれ同一のIPを指しているのを見たことがありまして、同じようなことをやりたいと思った次第です。ファイアウォールの設定と早合点したのは私の誤りでした。 別の方法で構いませんので、もし方法をご存知でしたら教えてください。
- pakuti
- ベストアンサー率50% (317/631)
普通にNATじゃ無理ですよ。 NATはIP変換ですので 方法としては、Peverse-ProxyかLoad-Barancerでしょう。
お礼
ご回答ありがとうございます。 Reverse-Proxyの場合、外部公開サーバの方で、宛先のURLに従って内部に振り分けるようなイメージになるのでしょうか? Reverse-Proxyはあまり使ったことがなく、「宛先のURLに従って」というのが可能なのかどうかわからないのですが。。。 Load-Barancerは使ったことがないので、他に方法がないとなれば調べてみます。
お礼
URLまで教えていただきありがとうございます。 教えていただいた方法で試してみたいと思います。