SSGの修練場 本文へジャンプ

演習4 Mapped IP(MIP)
公開アドレスを1対1でサーバのプライベートアドレスに割り当てる方法について演習します。

2009年07月04日 更新

目次
WebUIでの設定
CLIでの設定





WebUIでの設定

この演習からネットワーク構成が変わります。PC2として使ってきたCentOSをFW2のTrust内のFTPサーバとして使用します。

Mapped IP(MIP)は、Untrustのアドレス宛てに接続してきた複数のアドレスを、Trust内のサーバのそれぞれのアドレスに変換する機能です。複数のグローバルアドレスを使える場合にこの機能を使います。

この演習では、WebサーバとFTPサーバの公開アドレスとして、それぞれ172.30.1.3と172.30.1.4が割り当てられており、FW1のPCはそれらのアドレスに向けて接続します。


・事前準備

この演習では、CentOSでFTPサーバを使うので、参考として、CentOSでFTPを構築する方法を記します。セキュリティ等は考慮していないので、正式な構築は他のサイトを参考にすることをお勧めします。

CentOSでコンソールを起動して、管理者権限にて/etc/init.d/vsftpd startを実行すると、FTPサーバが立ち上がります。ただし、事前にFTPサーバをインストールしている必要があります。CentOSのインストール時にパッケージからインストールするのがもっとも簡単です(OSのインストール後でも、パッケージからのFTPサーバのインストールはできたと思います)。



FTPサーバのファイルを保管する場所は、デフォルトでは、/var/ftp/pub/となります。このパスにあらかじめファイルを保存しておきましょう。
FTPサーバに接続できることをWebブラウザからftp://localhost/に接続して確かめておきましょう。




・MIPの設定

MIPは、サーバのあるFW2(SSG5)に設定します。
メニューの、Network > Interfacesを開いて、Untrust(ethernet0/0)の「Edit」をクリックします。



MIPを設定する前に、前の演習から続けているかたは、FW1とFW2のUntrustのネットマスクを/30から/29に変更しておいてください。なぜ/30のままではだめなのかは、MIPの設定を続けていく中で分かると思います。

FW2(SSG5)


FW1(NetScreen-5GT)



では、MIPの設定を続けます。

FW2の先ほどのネットマスクの変更が終わったら、画面上部にある「MIP」ボタンを押してMIP(List)画面を開きます。画面の上部右に「New」をボタンがあるので、クリックしてください。Mapped IPの設定画面がでてきます。
Mapped IP、Host IP、Netmaskにそれぞれ以下のように入力します。



Mapped IPには、Untrustのセグメントのうち、実際には使われていないアドレスを入力します。この演習では、FW1とFW2の接続で、172.30.1.1と172.30.1.2がすでに使われていますので、それ以外のアドレスを入力します。

このとき、Untrustのネットマスクが/30のままだと、割り当て可能なアドレスがもうないので(172.30.1.0と172.30.1.3は使用しない)、/29にして割り当て可能なアドレスを増やしておく必要があります。

ここでは、172.30.1.3を使いました。これをFW2のTrustゾーンにあるWebサーバの実アドレスに割り当てます。この割り当てするアドレスが上図にある「Host IP」です。Webサーバのアドレスは192.168.2.11なので、そのように入力します。

同じ要領で、今度は、FTPサーバについてもMapped IPとHost IPを割り当ててみてください。
設定後、次の画面のようになります。今回はFTPサーバにはMIPに172.30.1.4を割り当てました。




では、この時点でPCからWebサーバとFTPサーバに接続できるか試してみましょう。FW1とFW2のポリシーは、とりあえず、以下のように通信に制限をかけないようにしておきます。




では、まずはWebサーバに接続してみましょう。これまでの設定で、WebサーバのMapped IPには172.30.1.3を割り当てましたので、http://172.30.1.3/で接続します。さて、結果は?




実は、MIPの通信ができるようになるためには、ポリシーの設定で、MIPのポリシーを通す設定を入れないといけないのでした。

PCからサーバ宛ての通信なので、FW2のUntrust → Trustのポリシーを設定します。



Destination AddressのAddress Book Entryのプルダウンメニューから「MIP(172.30.1.3)」を選択します。Serviceには「HTTP」を選択します。
Source Addressは上記ではAnyになっていますが、設定ではPCのセグメント「192.168.1.0/24」を入れています。
これで、Webサーバ宛てのMIPのポリシーが作成されました。

同様に、FTPサーバ宛てのMIPのポリシーも作成してみましょう。

ポリシーの作成結果は以下となります。




では、Webサイトに接続してみます。http://172.30.1.3/に接続します。



素敵なWebサイトが表示されました。
今度は、FTPサイトに接続します。ftp://172.30.1.4/に接続します。



きちんと表示されました。

Webサイトに接続した際のログを見てみましょう。PCの172.30.1.3宛てのアドレスが、Webサーバの実アドレス192.168.2.11に変換されているのが分かります。





CLIでの設定


・FW1(NetScreen-5GT)

アドレスの設定
set interface trust ip 192.168.1.254/24
set interface trust route
set interface untrust ip 172.30.1.1/29
set interface untrust route

アドレスブックの設定
set address "Trust" "FW1-PC" 192.168.1.0 255.255.255.0
set address "Untrust" "SERVER(MIP)" 172.30.1.0 255.255.255.248

ポリシーの設定
set policy id 5 name "PCtoServer(MIP)" from "Trust" to "Untrust" "FW1-PC" "SERVER(MIP)" "HTTP-FTP" permit log
set policy id 5
exit
set policy id 6 name "Server(MIP)toPC" from "Untrust" to "Trust" "SERVER(MIP)" "FW1-PC" "HTTP-FTP" permit log
set policy id 6
exit

ルーティング
set route 192.168.2.0/24 interface untrust gateway 172.30.1.2


・FW2(SSG5)

アドレスの設定
set interface "ethernet0/0" zone "Untrust"
set interface "bgroup0" zone "Trust"
set interface bgroup0 port ethernet0/2
set interface bgroup0 port ethernet0/3
set interface bgroup0 port ethernet0/4
set interface bgroup0 port ethernet0/5
set interface bgroup0 port ethernet0/6

set interface ethernet0/0 ip 172.30.1.2/29
set interface ethernet0/0 route
set interface bgroup0 ip 192.168.2.254/24
set interface bgroup0 route

Mapped IPの設定
set interface "ethernet0/0" mip 172.30.1.3 host 192.168.2.11 netmask 255.255.255.255 vr "trust-vr"
set interface "ethernet0/0" mip 172.30.1.4 host 192.168.2.12 netmask 255.255.255.255 vr "trust-vr"

アドレスブックの設定
set address "Trust" "SERVER" 192.168.2.0 255.255.255.0
set address "Untrust" "FW1-PC" 192.168.1.0 255.255.255.0
set group service "HTTP-FTP"
set group service "HTTP-FTP" add "FTP"
set group service "HTTP-FTP" add "HTTP"

ポリシーの設定
set policy id 3 name "Server_toPC" from "Trust" to "Untrust" "SERVER" "FW1-PC" "HTTP-FTP" permit log
set policy id 3
exit
set policy id 7 name "MIP(web)" from "Untrust" to "Trust" "FW1-PC" "MIP(172.30.1.3)" "HTTP" permit log
set policy id 7
exit
set policy id 8 name "MIP(FTP)" from "Untrust" to "Trust" "FW1-PC" "MIP(172.30.1.4)" "FTP" permit log
set policy id 8
exit

ルーティング
set route 192.168.1.0/24 interface ethernet0/0 gateway 172.30.1.1



演習目次に戻る
総合案内に戻る