PIXとNAT

TCP/IP

え〜。NAT、開眼しました。
「NATとはコレなりぃぃぃ!!」ってな感じです。かかってこい。


嘘です。そこまで開眼してません。


まぁ、NATといっても、Cisco PIX Firewall(515E)の設定の話なんですが。
あ、「スタティックNAT」の話です。動的とかPAT(NAPT)じゃなくて。
えとえと、つまり。
おね〜さん風に言うと、こんな感じ?


おね〜さん  スタティックNATをアドレス変換と思っちゃダメ


ですかね。
NATは「Network Address Translation」で「ネットワークアドレス変換」だから「アドレス変換」だろ? といわれそうですが。
例えば、まず、次のような設定をしてるとするよ?

interface e0
nameif outside
ip address 200.100.10.1 255.255.255.240

interface e1
nameif inside
ip address 192.168.1.1 255.255.255.0

interface e2
nameif dmz
security-level 50
ip address 192.168.0.1 255.255.255.0

nat (inside) 1 0.0.0.0 0.0.0.0
global (outside) 1 200.100.10.2
global (dmz) 1 interface

ここまで書いてふと思ったが、PIXのconfig書いてどれぐらいの人がわかってくれるんだろう。
まぁいいか。IOS慣れてると大体わかるし。


で、ここでDMZにあるサーバを外部公開するためのスタティックNATがあるわけです。

static (dmz,outside) 200.100.10.5 192.168.0.11 (Webサーバ)
static (dmz,outside) 200.100.10.6 192.168.0.12 (Nameサーバ)
static (dmz,outside) 200.100.10.7 192.168.0.13 (Mailサーバ)

これって、例えばWebサーバの場合、200.100.10.5←→192.168.0.11のアドレス変換、ですけど。
こうも考えられるよね、「192.168.0.11のサーバを200.100.10.5の仮想アドレスを与えてoutsideに(仮想的に)配置した」と。


つまり、FWのセキュリティレベル、outsideの0、dmzの50、insideの100は絶対であるという前提で考えます。
で、このセキュリティレベルは、そのインタフェースと同じネットワークのホストにも適用されると考えます。
(200.100.10.xのグローバルアドレスを持つのはレベル0、192.168.0.xのアドレスを持つのは50とかね)

  • おなじレベル同士ではアクセス可能。
  • 低いレベルへのアクセスは可能。
  • 高いレベルへのアクセスは不可能。

こうです。
まぁ、実際はNATの設定次第によっては可能なんですが、そう考えます。

ここで、高いレベルのホストに対し、低いレベルのホストがアクセスしたい場合は?
outside側ホストから、dmz側のホストにアクセスするには?


スタティックNATを使って、dmz側ホストに低いレベルのアドレスを与える


これ。
この発想。
「NAT変換して入り込む」という発想じゃないということなんだけど。


例えば、さっきのメールサーバ、192.168.0.13。これは外部からのメールを受信するためだけのメールサーバで、実際は内部にある192.168.10.103というメールサーバにメールボックスがあるとする。
なので、192.168.0.13→192.168.10.103へメール転送することを考える。
もちろん、DMZ・inside間はNATが必要。さて、どういうNATを書く?


ぱっと考え付くのは。

static (inside,dmz) 192.168.0.13 192.168.1.101

だとかと思う。でもこれ不正解。上手くいかない。

static (inside,dmz) 192.168.0.101 192.168.10.103

これが正解。
さっきの発想で考えて「内部メールサーバ(192.168.10.103)をDMZからのアクセスされるようにするため、(仮想的に)DMZに配置する(192.168.0.101のアドレスを与える)」。
こう。
間違っても、低レベルのホストを引き上げる(さっきの間違い設定のように、192.168.0.13→192.168.1.101にする)はしてはいけないってことなんだと思う。
これやっちゃうと、低レベルのホストが踏み台になった場合に全方位に攻撃されてしまうから、だと思われる。

というわけでまとめ。


おね〜さん  スタティックNATはね、仮想的にサーバを低いレベル側に配置する技術ってことなのよ。


という開眼でした。
書いてみると、なんか当たり前っぽい話だなぁ。