DMZのwebサーバがLANから閲覧できない
DMZにサーバをのせようとしていますが、
うまくいきません。
どなたかアドバイスをお願いいたします。
[現象]
DMZにwebサーバをのせました。
外部からはテストページの表示ができるのですが、
社内LANからテストページの表示ができません。
[環境]
サーバOS :centos5.2
/etc/sysconfig/network-scripting/ifcfg-eth0 には、
gatewayの設定はしていますせん。
(ネットワーク管理者に不要だといわれたため)
サーバは、
ファイアウォール・VPN・リモートアクセスなど
ゲートウェイ機能搭載の中小規模オフィス向けネットワークサーバーを経由して、
外部、LANそれぞれと通信します。
[確認した事項]
下記の内容を、サーバのファイアウォールをはずして検証してみました。
ネットワークサーバのログは見られません。
(1)外部からアクセスしたとき
・pingは通る
・webテストページの表示ができる
・ネットワークサーバーのログは正常に通信していると残っている。
(ヘルプデスクに確認)
(2)社内LANからアクセスしたとき
・pingが通らない
・webテストページの表示ができない
・ネットワークサーバーのログによると、DMZのサーバへ要求は投げているが、
DMZのサーバからの戻りはない。
(ヘルプデスクに確認)
サーバのログは以下のとおりです。
・正常なやりとりのログ
[root@iserver ~]# tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
21:31:46.754868 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 57592, seq 0, length 64
21:32:26.871001 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 57592, seq 0, length 64
21:31:46.870377 IP (問題のサーバのドメイン名).44291 > (LAN内のDNSのIP).domain: 41736+ PTR? (問題のサーバのIPを逆から表示したもの).in-addr.arpa. (45)
21:31:47.765841 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 48562, seq 1, length 64
21:31:47.765858 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 48562, seq 1, length 64
21:31:48.775690 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 52530, seq 2, length 64
21:31:48.775707 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 52530, seq 2, length 64
21:31:49.786146 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 15423, seq 3, length 64
21:31:49.786161 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 15423, seq 3, length 64
21:31:50.796110 IP (外部サーバのIP) > (問題のサーバのIP): ICMP echo request, id 15768, seq 4, length 64
21:31:50.796124 IP (問題のサーバのIP) > (外部サーバのIP): ICMP echo reply, id 15768, seq 4, length 64
・LANからの異常なやりとりのログ
21:35:04.456219 arp who-has (問題のサーバのIP) tell (社内のIPと思われるもの-2)
21:35:04.456241 arp reply (問題のサーバのIP) is-at (MACアドレス2)(oui Unknown)
21:35:04.456374 IP (問題のサーバのドメイン名).48609 > (LAN内のDNSのIP).domain: 42979+ PTR? (社内のIPと思われるもの-2を逆から表示したもの).in-addr.arpa. (45)
21:35:04.456493 IP (PINGを実行したLAN内マシンのIP) > (問題のサーバのIP): ICMP echo request, id 512, seq 513, length 40
21:35:04.456787 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)
21:35:05.456851 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)
21:35:06.456914 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)
21:35:09.453100 arp who-has (LAN内のDNSのIP) tell (問題のサーバのドメイン名)
21:35:09.453151 IP (問題のサーバのドメイン名).45524 > (DNSのIP).domain: 42979+ PTR? (社内のIPと思われるもの-2を逆から表示したもの).in-addr.arpa. (45)
21:35:09.453401 arp reply (LAN内のDNSのIP) is-at (MACアドレス) (oui Unknown)
21:35:09.961830 IP (PINGを実行したLAN内マシンのIP) > (問題のサーバのIP): ICMP echo request, id 512, seq 769, length 40
21:35:09.965131 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)
21:35:10.965194 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)
21:35:11.965256 arp who-has (PINGを実行したLAN内マシンのIP) tell (問題のサーバのIP)
お礼
ありがとうございます。 つまり、DMZとは社外からも社内LANからもはアクセスできるIPアドレス帯域のことを言っているのでしょうか。 Firewallの設定で、DMZのアドレス帯域からは社内LANには入れないようになっていることが重要であるとの印象を受けました。