セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

Cisco Secure PIX ファイアウォールでの alias コマンドの概要

2002 年 4 月 23 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 9 月 26 日) | フィードバック

目次


概要

この文書では、Cisco Secure PIX ファイアウォールでの alias コマンドの使用方法を説明します。

alias コマンドには、次の 2 つの機能があります。

  • このコマンドにより、外部 DNS サーバから送られてきた DNS 応答に「DNS Doctoring」を実行することができます。
    • DNS Doctoring を実行すると、PIX は DNS サーバからの DNS 応答を、DNS サーバが特定の名前に実際に応答するときの IP アドレスとは異なる IP アドレスに「変更」します。
    • このプロセスを使用するのは、内部 IP アドレスによって、内部クライアントの実際のアプリケーション コールを内部サーバに接続する場合です。

  • コマンドにより、1 つの送信先 IP アドレスに「Destination NAT(dnat)」を実行して、別の IP アドレスに変更できます。
    • dnat を実行すると、PIX は 1 つの IP アドレスからのアプリケーション コールの送信先 IP を別の IP アドレスに「変更」します。

    • このプロセスを使用するのは、外部 IP アドレスによって、内部クライアントの実際のアプリケーション コールを Perimeter(dmz)ネットワークのサーバに接続する場合です。この場合は、DNS 応答は「Doctoring」されません。

    たとえば、ホストがパケットを 99.99.99.99 に送信したときに、alias コマンドを使用すると、トラフィックを 10.10.10.10 などの別のアドレスにリダイレクトできます。また、このコマンドによって、ネットワーク上の IP アドレスが、インターネット上または別のイントラネット上の IP アドレスと同一の場合に競合の発生を防止できます。詳細は、「PIX ドキュメンテーション」を参照してください。

    ハードウェアおよびソフトウェアのバージョン

    この文書の情報は、次のソフトウェアおよびハードウェアのバージョンに基づいています。

    • Cisco Secure PIX ファイアウォール ソフトウェア リリース 5.0.x 以降

    DNS Doctoringによる内部アドレスの変換

    最初の例では、ウェブ サーバの IP アドレスは 10.10.10.10 で、このウェブ サーバのグローバル IP アドレスは 99.99.99.99 となっています。

    注:DNS サーバは外部に設定されています。nslookup コマンドを発行して、DNS サーバが各自のドメイン名をウェブ サーバのグローバル IP アドレスに変換することを確認します。クライアント PC 上で実行した nslookup コマンドの結果は、サーバの内部 IP アドレス(10.10.10.10)と同じである必要があります。これは、DNS 応答が PIX を通過するときにDoctoringされるためです。

    さらに、DNS の fixup が正常に動作するためには、proxy-arp を無効にする必要があることに注意します。DNS fixupalias コマンドを使用している場合は、alias コマンドの実行後に次のコマンドを使用すると proxy-arp が無効になります。

      sysopt noproxyarp internal_interface

    ネットワーク図

    ネットワーク図

    IP アドレス 10.10.10.25 のマシンから、ドメイン名(www.mydomain.com)を使用して、このウェブ サーバにアクセスするには、次のように alias コマンドを実行する必要があります。

    alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255
    
     !--- このコマンドによって、DNS Doctoringが設定されます。コマンドは、「内部」ネットワークの
    
     !--- クライアントから起動します。コマンドは、99.99.99.99 を含む DNS 応答を探して、
    
     !--- 99.99.99.99 のアドレスを、クライアント PC に送られた「DNS 応答」内の
    
     !--- 10.10.10.10 アドレスと交換します。
    
     

    次に、ウェブ サーバにスタティック トランスレーションを作成し、インターネット上の任意のユーザがポート 80(http)のウェブ サーバにアクセスできるようにする必要があります。

    static(inside,outside) 99.99.99.99 10.10.10.10 netmask 255.255.255.255
    
     !--- このコマンドによって、ウェブ サーバの実アドレス 10.10.10.10 と
    
     !--- グローバル IP アドレス 99.99.99.99 の間にスタティック トランスレーションが作成されます。
    
     

    アクセス権を与えるには、次のように access list コマンドを使用する必要があります。

    access-list 101 permit tcp any host 99.99.99.99 eq www
    
     access-group 101 in interface outside
    
     !--- これらのコマンドを使用すると、任意の外部ユーザがポート 80 のウェブ サーバにアクセスできます。 
    
     

    古い構文を使用したい場合は、次の conduit コマンドを使用できます。

    conduit permit tcp host 99.99.99.99 eq www any
    
     !--- このコマンドを使用すると、任意の外部ユーザがポート 80 のウェブ サーバにアクセスできます。

    送信先 NAT による DMZ アドレスの変換

    ウェブ サーバが PIX の DMZ ネットワーク上にある場合は、送信先 NAT(dnat)を実行するのに alias コマンドを使用する必要があります。例では、DMZ 上のウェブ サーバの IP アドレスは 192.168.100.10 で、このウェブ サーバの外部 IP アドレスは 99.99.99.99 になっています。サーバ宛てのコールが実際にあった場合に、dnat を使用して IP アドレス 99.99.99.99 を 192.168.100.10 に変換したいと思いますが、DNS のコールと応答は変わりません。この例では、DNS 応答は、DNS Doctoringされないので、内部クライアント PC によって外部 99.99.99.99 IP アドレスとして確認されます。

    ネットワーク図

    ネットワーク図

    この例では、外部ドメイン名(www.mydomain.com)を使用して、10.10.10.0 /24 ネットワーク内のマシンから DMZ のこのウェブ サーバにアクセスしようとしています。PIX が DNS 応答に DNS Doctoringを実行しないようにします。その代わりに、PIX がウェブ サーバの外部(グローバル)IP アドレスを「実際の」DMZ アドレス(192.168.100.10)に dnat することを望んでいます。

    dnat の実行には、alias コマンドが必要です。

    alias(inside) 99.99.99.99 192.168.100.10 255.255.255.255
    
     !--- このコマンドによって、送信先 NAT が設定されます。この例では、
    
     !--- 外部アドレス(99.99.99.99)が alias コマンド(第 2 IP)の
    
     !--- 外部 IP アドレスと一致しないので、DNS 応答は、PIX によってDoctoringされません。
    
     !--- しかし、コールの送信先アドレスは、alias コマンドの dnat IP アドレス(最初の IP)
    
     !--- と一致するので、コールは「dnat されます」。
    
     

    注: alias コマンドの IP アドレスは、上の例の DNS Doctoringの場合とは逆の順序で示されます。

    次に、ウェブ サーバにスタティック トランスレーションを作成し、インターネット上の任意のユーザがポート 80(http)のウェブ サーバにアクセスできるようにする必要があります。

    static(dmz,outside) 99.99.99.99 192.168.100.10 netmask 255.255.255.255
    
     !--- このコマンドを使用すると、ウェブ サーバの実アドレス 192.168.100.10 と
    
     !--- グローバル IP アドレス 99.99.99.99 の間にスタティック トランスレーションが作成されます。

    アクセス権を与えるには、次のように access list コマンドを使用する必要があります。

    access-list 101 permit tcp any host 99.99.99.99 eq www
    
     access-group 101 in interface outside
    
     !--- これらのコマンドを使用すると、任意の外部ユーザがポート 80 のウェブ サーバにアクセスできます。

    古い構文を使用したい場合は、次の conduit コマンドを使用できます。

    conduit permit tcp host 99.99.99.99 eq www any
    
     !--- このコマンドを使用すると、任意の外部ユーザがポート 80 のウェブ サーバにアクセスできます。

    その他の構成ガイド

    • alias コマンドのインターフェイスは、クライアントが呼び出している「インターフェイス」と同じである必要があります。

    • DMZ 上にもクライアントが存在する場合は、DMZ インターフェイスに別の alias を追加する必要があります(このインターフェイスは DNS Doctoringします)。

      たとえば、上の例で、DMZ 上にある他のクライアントには外部 DNS を使用し、ただしウェブ サーバの呼び出しには DMZ アドレスを使用するとします。そのためには、追加の alias コマンドを作成して、DMZ インターフェイスを結びつけて、DNS 応答パケットを DNS Doctoringします。
      alias (dmz) 192.168.100.10 99.99.99.99 255.255.255.255
      
       !--- このコマンドによって、DNS Doctoringが設定されます。このコマンドは、"dmz" ネットワークの
      
       !--- クライアントから起動します。コマンドは、99.99.99.99 を含む DNS 応答を探して、
      
       !--- 99.99.99.99 のアドレスを、クライアント PC に送られた「DNS 応答」内の
      
       !--- 192.168.100.10 アドレスと交換します。
    • 同じ PIX の異なるインターフェイスに接続するように、複数の alias コマンドを作成できます。

    ツール情報

    その他のトラブルシューティング リソースについては、シスコの「セキュリティ テクノロジー用 TAC ツール」を参照してください。


    関連するシスコ サポート コミュニティ ディスカッション

    シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


    関連情報
    Document ID: 6353