設問1
本文中の [ a ] 〜 [ g ] を、10字以内の適切な字句で埋めよ。
穴埋め問題です。10文字以内と字数が決められていることに注意しましょう。
【 a 】〜【 c 】
フィルタリングテーブルの設定ですね。
>LAN2→LAN1 @ あて先IPアドレスがS1又はW1のパケットは通過させる。
のReply と考えたら、答えはすぐ分かりますね。
LAN1→LAN2 @ [ 送信元IPアドレス] が [ S1 ] 又 [ W1 ] のパケットは通過させる。
b,cはこの場合入れ替わっても問題ありませんね。
【 d 】
>"[ d ]1918"で記述されているプライベートアドレス・・・
プライベートアドレスが、【 ?? 】1918で取り決められてると書いてます。
TCP/IPのProtocolの取り決めと言えば、”RFC(Request For Comments)”ですね。
プライベートアドレス=RFC 1918までは覚えられなくても、この問題のように、
数字の前に穴埋めがあって、TCP/IPの取り決めらしいなぁと思ったら、”RFC”と
書けるようにしておきたいですね。
【 e 】
>IPアドレスに対して[ e ]の保証が必要である。
最初のこの文章を見ただけでは何のこっちゃ?と思いました。
あとの文書の
>インターネットでは、アドレス割当て機関がIPアドレスを管理することで[ e ]を保っ
>ている。
を読むと分かりますね。
IPアドレスが重複してしまうと、通信先や自分が特定できなくなるということが言いたいのでしょう。
答えは 【一意性】ですね。
【 f 】
>[ f ] 層を使って組織外のネットワークと直接通信を行わない場合には、・・・
TCP/IPの7階層のうちのどれかですね。
IPアドレスはどの層の識別子だったでしょう?
ネットワーク層ですね。
【 g 】
>A社の [ g ] として"αβγ.co.jp"(αβγは英文字列)を登録することにした。
"αβγ.co.jp"を何といったでしょうか?ドメイン名でいいでしょう。
|
(Tomの解答例)
【 a 】送信元IPアドレス
【 b 】S1
【 c 】W1
【 d 】RFC
【 e 】一意性
【 f 】ネットワーク
【 g 】ドメイン名
設問2
"図2の案に対する意見(1)"に関する次の小問に答えよ。
(1)ルータ12のLAN1からLAN2方向のフィルタリングにおいて、新たに通過を許可
するIPパケットを、30字以内で述べよ。
"図2の案に対する意見(1)"をキーワードの調べてみましょう。
>プロキシサーバを導入するのであれば、ルータ12のIPパケットのフィルタリング定
>義を見直す必要がある。また、ファイアウォールに対しても、次のアドレス付替えル
>ールを追加する必要がある。
プロキシサーバ導入による見直しが問題のようです。
これに、表
通信の方向 |
フィルタリングの定義 |
LAN2→LAN1 |
@ あて先IPアドレスがS1又はW1のパケットは通過させる。
A 上記以外のパケットは破棄する。 |
LAN1→LAN2 |
@ [ a ] が [ b ] 又 [ c ] のパケットは通過させる。
A上記以外のパケットは破棄する。 |
に対して、追加しないといけないと言っています。
新たに、IPアドレスがP1のプロキシサーバが追加されました。
しかし、表のパケットフィルタリング設定のままでは、Aの
”上記以外のパケットは破棄する”
に引っかかって、通過できないですよね。
ですから、通過できるように追加してあげる必要がありそうです。
表1の@で書かれているのを真似て、
送信元IPアドレスがP1のパケットは通過させる。
でいいですね。
ただ、設問に"図2の案に対する意見(1)"に関すると書いてありますので、
「[ h ]
IPアドレスがP1で、[ i ]TCPポートがHTTPポートであるIPパケットは・・・」
を使った方がいいかもしれません。
送信元IPアドレスがP1、あて先TCPポートがHTTPポート
問題に”LAN1からLAN2方向の”と書いてあります。
間違えて、LAN2からLAN1方向で回答を作らないように注意しましょう。
そのような減点はもったいないです。
|
(Tomの解答例)
送信元IPアドレスがP1、あて先TCPポートがHTTPポート(30)
(2)本文中の [ h ] 〜 [ n ] を、10字以内の適切な字句で埋めよ。
。
【 h 】〜【 n 】
〔図2の案に対する意見]での内容ですね。
本文はダラダラ書いて見にくいので、箇条書きでまとめてみましょう。
1.プロキシサーバを導入するのであれば、ルータ12のIPパケットのフィルタリング定
義を見直す必要がある。
2.ファイアウォールに対しても、次のアドレス付替えルールを追加する必要がある。
3.[ h ] IPアドレスがP1で、[ i ]TCPポートがHTTPポートであるIPパケット
ア)[ h ] IPアドレスを[ j ]から[ k ]に書き換える。
イ)LAN1からLAN0へフォワーディングを行う。
4.その応答パケット
ア)[ l ] IPアドレスを[ m ] から [ n ] に書き換える。
イ)LAN0からLAN1ヘフォワーディングを行う。
まず、3.についてですが、
イ)のLAN1からLAN0へフォワーディングを見ると、
社内LANからインターネットの接続というのが分かります。
その場合は、プライベートアドレスがインターネットに出ちゃうと通信できませんので、
グローバルアドレスに変換しないといけないですね。
送信元IPアドレス、あて先IPアドレスどっちがプライベートアドレスでしょうか?
送信元IPアドレスですね。【 h 】は”送信元”でいいでしょう。
では、社内のLANからインターネットのWebサーバに接続しに行く時に、
あて先、送信元どっちのポート番号が、HTTPである”80”になるでしょう?
あて先ですね。【 i 】は”あて先”が入ります。
自分のパソコンで実際に試してみたい方はEthereal
(Free SOFT)をインストールして、
Packetをmonitorしてみてはいかがでしょうか?
参考:自宅で出来るNetwork簡易実習
このように、送信元IPアドレスをプライベートアドレス=>グローバルアドレス変換しますが、
実際、どのIPアドレスからどのIPアドレスに変換するでしょう?
変換前はP1ですね。これは一つ上の行に書いてあります。
それを何に変換するかというと、ファイアウォールのインターネット側のグローバ
ルIPアドレスですね。
【 j 】はP1、【 k 】はF0です。
最後にインターネット=>社内LAN方向の応答Packetです。
[ あて先 ] IPアドレスを[ F0] から [
P1 ] に書き換える。
で特に問題ないですね。
【 l 】:あて先、【 m 】:F0 、【 n 】:P1
|
(Tomの解答例)
【 h 】 送信元
【 i 】 あて先
【 j 】 P1
【 k 】 F0
【 l 】 あて先
【 m 】 F0
【 n 】 P1
設問3
"図2の案に対する意見(2)"に関する次の小問に答えよ。
(1)資材サーバが利用できない理由を、30字以内で述べよ。
(Tomの解答例)
資材サーバのIPアドレスはファイアウォールで変換されないため。(30)
(2)プログラムの具体的な改造内容を、40字以内で述べよ。
設問3(1)を解いてみて、インターネットから使用する場合、ファイアウォールで、
IPデータグラムのIPアドレスはプライベートアドレスからグローバルアドレスに変換されるけど、
プログラム中に埋め込まれているIPアドレスは、変換されない。
だから、通信が確立できないことがわかりました。
では、どう改造すれば通信できるようになるでしょうか?
「プログラム中のIPアドレスも同様、ファイアウォールでグローバルアドレスに変換する」
これなら、問題なく通信が出来るでしょうけど、残念ながらファイアウォールにそういう機能はありません。
プログラム中にサーバのプライベートアドレスであるS1とルータのインターネット側IPアドレス(グローバルアドレス)
であるF0両方を入れるように改造してはどうでしょうか?
LAN内の使用では、S1を使用して確立し、インターネットからの使用ではF0を使用する。
詳細までを考えると、いろいろ課題は出てくるかもしれませんが、40文字回答で午後Tですから、
このぐらいの回答で十分ではないでしょうか?
|
(Tomの解答例)
プログラム中にS1だけでなく、ルータのインターネット側アドレスF0も埋め込む(38)
|