HOME»ネットワークスペシャリスト掲示板»平成25年度午後1設問3(オ)
投稿する

平成25年度午後1設問3(オ) [0355]

 サルコップさん(No.1) 
平成25年度午後1設問3(オ)について

インターネットからDNSサーバへの接続ですが、
B社から資産管理サーバーへのアクセスはJavaアプレットの仕様により、
hostsファイルの定義で名前変換を行っており、
B社からDNSサーバーへのアクセスは不要でないかと思うのですが、
FWの許可が必要なのはなぜでしょうか。

B社以外からもインターネットからDNSサーバーへのアクセスはあるのでしょうか。
それとも、B社から資産管理サーバー以外のアクセスにはDNSサーバーが必要なのでしょうか。
2023.12.05 13:16
hisashiさん(No.2) 
NW ゴールドマイスター
>B社以外からもインターネットからDNSサーバーへのアクセスはあるのでしょうか。
>それとも、B社から資産管理サーバー以外のアクセスにはDNSサーバーが必要なのでしょうか。 

JavaアプレットとSSL-VPN装置とのトンネル確立には、ブラウザでSSL-VPN装置にHTTPSでアクセスし認証する必要があります。
HTTPSアクセス時のURLがFQDNの場合、DNSサーバによる名前解決が必要となります。
2023.12.06 22:03
 サルコップさん(No.3) 
hisashiさん

ご回答ありがとうございます。
私は根本的に勘違いをしていたかもしれません。

hostsの定義には、ループバックアドレスしか定義おらず、
本来の接続先IPアドレスはDNSサーバーから取得する必要があることが頭から抜け落ちていました。

「ネスペの剣」を見ながら学習しているのですが、Javaアプレットを使うために
hostsファイルにループバックアドレスと接続先サーバーのFQDNを定義してあるようですが、そのFQDNから本来の接続先IPアドレスを取得するのが、DNSサーバーという解釈であってますでしょうか。

流れとして

①端末のhostsを参照し、接続先サーバーURL(FQDN)からループバックアドレスを取得
②ループバックアドレスからJavaアプレットにアクセス
③SSL-VPN装置からトンネル確立
④接続先サーバーURL(FQDN)からDNSサーバー接続
⑤DNSサーバーで名前変換し、接続先サーバーにアクセス
2023.12.07 09:34
hisashiさん(No.4) 
NW ゴールドマイスター
申し訳ありません、ご質問の内容が咀嚼できておりません。
齟齬をなくすため、いくつか確認をさせてください。

>「ネスペの剣」を見ながら学習しているのですが、Javaアプレットを使うために
>hostsファイルにループバックアドレスと接続先サーバーのFQDNを定義してあるようですが、そのFQDNから本来の接続先IPアドレスを取得するのが、DNSサーバーという解釈であってますでしょうか。

hostsファイルには、資産管理サーバとテスト環境サーバのFQDNが定義されております。本来の接続先IPアドレスは、SSL-VPN装置でしょうか?それとも開発システムのサーバのことでしょうか?

>①端末のhostsを参照し、接続先サーバーURL(FQDN)からループバックアドレスを取得
>②ループバックアドレスからJavaアプレットにアクセス
>③SSL-VPN装置からトンネル確立
>④接続先サーバーURL(FQDN)からDNSサーバー接続
>⑤DNSサーバーで名前変換し、接続先サーバーにアクセス

①と②はSSLトンネル確立後となります。
④の接続先サーバーURLは、開発システムのサーバのことでしょうか?


通信の流れは大まかに次の3つです。

・ブラウザでSSL-VPN装置のURLにアクセスし認証する
・Javaアプレットが起動し、SSL-VPN装置とSSLトンネルを確立、ブラウザからの通信をリッスン
・PC(ブラウザ)がJavaアプレット~SSL-VPN装置間のSSLトンネルを介し開発システムにアクセスする
2023.12.07 23:33
hisashiさん(No.5) 
NW ゴールドマイスター
質問を読み直して次のように解釈しました。
誤っている場合はご指摘ください。

本来の接続先IPアドレス=資産管理サーバとテスト環境サーバのIPアドレス(10.10.10.1、10.10.10.2)

最初の私の説明が不十分でした。
DNSサーバによる名前解決は、SSL-VPN装置のFQDNに対してです。
それ以外は発生しません。

DNSサーバへのクエリが発生するのは、ブラウザからのHTTPリクエスト時にPCが宛先IPアドレスの情報を持ち合わせていない場合です。

図2の構成では、hostsによる名前解決ができているため、開発システムへのアクセス時にJavaアプレットを宛先IPアドレス(127.0.1.10)にセットしたパケットが送出されます。

Javaアプレットの待ち受けから先は、中継する機器でポートフォワードされパケットを伝送するため、PCは、その先のIPアドレスを知ることなく開発システムにアクセスできます。

例えば、1つのGIPを持つNAPT(静的NAT)の構成でDMZ上のサーバがローカルIPアドレスでも、インターネット上のPCからDMZ上のサーバにアクセスする際の名前解決のAレコードは、GIPでありDMZ上のローカルIPアドレス(本来のIPアドレス)をPCが知る必要がないというのと同じ理屈です。
2023.12.09 00:25
 サルコップさん(No.6) 
hisashiさん

回答いただいていたのに、見るのが遅くなり大変申し訳ありません。

>本来の接続先IPアドレスは、SSL-VPN装置でしょうか?それとも開発システムのサーバのことでしょうか?

曖昧な表現ですみません。開発システムサーバーのことです。

>④の接続先サーバーURLは、開発システムのサーバのことでしょうか?

こちらも開発システムサーバーのことです。


>・ブラウザでSSL-VPN装置のURLにアクセスし認証する
>・Javaアプレットが起動し、SSL-VPN装置とSSLトンネルを確立、ブラウザからの通信をリッスン

この時点で私が間違った認識をしていました。
Javaアプレットが何のために必要なのかよくわかっておらず、
Javaアプレットを使ってSSL-VPN装置にアクセスするものと思っていました。
ブラウザでアクセスしてから、Javaアプレットが起動するのですね。
解説ありがとうございました。
2023.12.09 14:12
 サルコップさん(No.7) 
hisashiさん

>DNSサーバによる名前解決は、SSL-VPN装置のFQDNに対してです。
それ以外は発生しません。

DNSサーバーはSSL-VPN装置のFQDNのために必要なのですね。

>Javaアプレットの待ち受けから先は、中継する機器でポートフォワードされパケットを伝送するため、PCは、その先のIPアドレスを知ることなく開発システムにアクセスできます。

ポートフォワードで変換されるため、開発システムのIPアドレスをDNSサーバーから取得する必要はないのですね。
ここも分かっていませんでした。
ありがとうございます。

全体的にかなり私の解釈が間違っていました。
回答いただいたおかげで、だいぶ正しい認識ができました。
丁寧な解説、ありがとうございました。
2023.12.09 14:30
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2015-2024 ネットワークスペシャリストドットコム All Rights Reserved.

Pagetop