R5 午後2 問2 設問4(4)
まーしーさん
(No.1)
R5 午後2 問2 設問4(4)で2点教えてください。
1.x-forwarded-forを使うのですが、HTTPの接続元の送信元IPアドレスがわかったところでなぜメンテナンスができるかわかりません。
RDPやSSHでメンテナンスをするものかなと思うのです。
2.また、HTTPヘッダーがなぜ関係があるのかもわからないです
よろしくお願いします。
1.x-forwarded-forを使うのですが、HTTPの接続元の送信元IPアドレスがわかったところでなぜメンテナンスができるかわかりません。
RDPやSSHでメンテナンスをするものかなと思うのです。
2.また、HTTPヘッダーがなぜ関係があるのかもわからないです
よろしくお願いします。
2024.04.20 19:16
よぷてぬさん
(No.2)
>1.x-forwarded-forを使うのですが、HTTPの接続元の送信元IPアドレスがわかったところで>なぜメンテナンスができるかわかりません。
本文に「運用PCから当該ECサーバにアクセスして、メンテナンス作業を行います。」
とあるので運用PCのIPアドレスを特定するためにx-forwarded-forを使用します。
そうすれば運用PCからECサーバにアクセスできるようになります。
>2.また、HTTPヘッダーがなぜ関係があるのかもわからないです
x-forwarded-forはHTTPヘッダーリクエストのパラメータの1つです。
2024.04.20 20:45
hisashiさん
★NW ゴールドマイスター
(No.3)
この投稿は投稿者により削除されました。(2024.04.20 22:19)
2024.04.20 22:19
naoさん
(No.4)
たしかに問題文を改めて読むと自分は強い違和感を持ちました。
整理してみました。問題文はいくつかの考慮をすっ飛ばして記載されていると思います。
1.既設ECサーバのデフォルトゲートウェイはLB
=> 既設ECサーバの全てのパケットはLBに転送する
2.LBはソースNATを行っていない
=> インターネット越しのPCの送信元IPアドレスを変換しない
=> 既設ECサーバから見るとインターネット越しのPCが送信元になる
3.図5の転送経路は以下のようになっている(インターネット側は省略しています)
リクエストの経路:FWz => LB => 既設ECサーバ
レスポンスの経路:既設ECサーバ => LB => FWz
4.運用PCからECサーバのメンテナンスを行いたい
5.ECサーバのデフォルトゲートウェイはLBなのでECサーバからのパケットは全てLBに行く
6.LBはルーティング機能が無いので運用PCまでパケットを送信できない
=> W課長はおそらくこれを考慮して指摘している
=> (W課長、X主任の両者とも、もっと詳しく会話してくれたらラク)
7.対策としてECサーバのデフォルトゲートウェイは図1の時の構成のFWzに戻す
8.しかしこの状態では『レスポンスの経路』で記載した経路が維持できない
レスポンスの経路:既設ECサーバ => FWz になるため
9.だけどメンテナンス以外では図5の転送経路を維持したい
10. そうだ!
11. LBでソースNATを行うことで送信元IPアドレスをLBの物理IPアドレスにする
12. 手順11によって既設ECサーバから見ると、LBがリクエストして来たように見える
=> レスポンスはLBに送る
13. よって、図5の転送経路を維持できる
14. しかし、ECサーバでは送信元IPアドレスをログ管理したい
=> 問題文 P13 に記載あり
> EC サーバは,アクセス元の IP アドレスなどをログとして管理している。
15. 送信元IPアドレスをXFFヘッダに入れる
=> ソースNATを行わないならXFFヘッダを使わずに送信元IPアドレスをそのまま取得できたけど、ソースNATを行う必要が出た
16. おわり
解いていたときは「ECサーバでは送信元IPアドレスをログ管理したいためでしょ」と思っていましたが、メンテナンスの話も改めて読むと自分は混乱しました
整理してみました。問題文はいくつかの考慮をすっ飛ばして記載されていると思います。
1.既設ECサーバのデフォルトゲートウェイはLB
=> 既設ECサーバの全てのパケットはLBに転送する
2.LBはソースNATを行っていない
=> インターネット越しのPCの送信元IPアドレスを変換しない
=> 既設ECサーバから見るとインターネット越しのPCが送信元になる
3.図5の転送経路は以下のようになっている(インターネット側は省略しています)
リクエストの経路:FWz => LB => 既設ECサーバ
レスポンスの経路:既設ECサーバ => LB => FWz
4.運用PCからECサーバのメンテナンスを行いたい
5.ECサーバのデフォルトゲートウェイはLBなのでECサーバからのパケットは全てLBに行く
6.LBはルーティング機能が無いので運用PCまでパケットを送信できない
=> W課長はおそらくこれを考慮して指摘している
=> (W課長、X主任の両者とも、もっと詳しく会話してくれたらラク)
7.対策としてECサーバのデフォルトゲートウェイは図1の時の構成のFWzに戻す
8.しかしこの状態では『レスポンスの経路』で記載した経路が維持できない
レスポンスの経路:既設ECサーバ => FWz になるため
9.だけどメンテナンス以外では図5の転送経路を維持したい
10. そうだ!
11. LBでソースNATを行うことで送信元IPアドレスをLBの物理IPアドレスにする
12. 手順11によって既設ECサーバから見ると、LBがリクエストして来たように見える
=> レスポンスはLBに送る
13. よって、図5の転送経路を維持できる
14. しかし、ECサーバでは送信元IPアドレスをログ管理したい
=> 問題文 P13 に記載あり
> EC サーバは,アクセス元の IP アドレスなどをログとして管理している。
15. 送信元IPアドレスをXFFヘッダに入れる
=> ソースNATを行わないならXFFヘッダを使わずに送信元IPアドレスをそのまま取得できたけど、ソースNATを行う必要が出た
16. おわり
解いていたときは「ECサーバでは送信元IPアドレスをログ管理したいためでしょ」と思っていましたが、メンテナンスの話も改めて読むと自分は混乱しました
2024.04.20 22:16
naoさん
(No.5)
No.4を回答した者ですが冷静に考えて質問に簡潔に答えられていなかったと思うので再度回答します。
XFF自体はECサーバに送信元IPアドレスを通知するためですね。
メンテナンス可能にする過程でECサーバへの送信元IPアドレスがLBになってしまったので。
>1.x-forwarded-forを使うのですが、HTTPの接続元の送信元IPアドレスがわかったところでなぜメンテナンスができるかわかりません。
> RDPやSSHでメンテナンスをするものかなと思うのです。
>
>2.また、HTTPヘッダーがなぜ関係があるのかもわからないです
XFF自体はECサーバに送信元IPアドレスを通知するためですね。
メンテナンス可能にする過程でECサーバへの送信元IPアドレスがLBになってしまったので。
2024.04.20 22:27
hisashiさん
★NW ゴールドマイスター
(No.6)
X-Forwarded-Forを適用することと、メンテナンスができることは別物です。
X-Forwarded-Forを適用する理由は、No.5のnaoさんの解説通りです。
メンテナンスができる理由は、ECサーバのデフォルトゲートウェイをLBから図1の構成(FWz)に戻すからです。
ECサーバにログを残すため、ソースNATを適用せず、ECサーバのデフォルトゲートウェイをLBに向けることで(下線⑤)対処しようと考案しましたが、LBにルーティング機能がないためメンテナンス通信が成立しないことが判明します。
WEBアクセスは、図5の経路となりますが、sshなどのメンテナンス通信は下記のとおり経路が異なります。
■ECサーバのデフォルトゲートウェイがLBの場合
<往路>
運用PC→L3SW→FWz→ECサーバ
<復路>
ECサーバ→LB→x(経路がないため通信不可)→FWz→L3SW→運用PC
■ECサーバのFWzの場合(図1の構成)
<往路>
運用PC→L3SW→FWz→ECサーバ
<復路>
ECサーバ→FWz→L3SW→運用PC
ECサーバのデフォルトゲートウェイをFWzに戻した場合、図5の(iv)がFWzに向けられてしまい、コネクションが成立しないためLBにソースNATを適用しています。
X-Forwarded-Forを適用する理由は、No.5のnaoさんの解説通りです。
メンテナンスができる理由は、ECサーバのデフォルトゲートウェイをLBから図1の構成(FWz)に戻すからです。
ECサーバにログを残すため、ソースNATを適用せず、ECサーバのデフォルトゲートウェイをLBに向けることで(下線⑤)対処しようと考案しましたが、LBにルーティング機能がないためメンテナンス通信が成立しないことが判明します。
WEBアクセスは、図5の経路となりますが、sshなどのメンテナンス通信は下記のとおり経路が異なります。
■ECサーバのデフォルトゲートウェイがLBの場合
<往路>
運用PC→L3SW→FWz→ECサーバ
<復路>
ECサーバ→LB→x(経路がないため通信不可)→FWz→L3SW→運用PC
■ECサーバのFWzの場合(図1の構成)
<往路>
運用PC→L3SW→FWz→ECサーバ
<復路>
ECサーバ→FWz→L3SW→運用PC
ECサーバのデフォルトゲートウェイをFWzに戻した場合、図5の(iv)がFWzに向けられてしまい、コネクションが成立しないためLBにソースNATを適用しています。
2024.04.20 23:35
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。