HOME»ネットワークスペシャリスト掲示板»令和5年 午後Ⅱ 問2 設問4
投稿する
X主任が説明しているメンテナンス方法をまとめると、以下のとおりです。
「メンテナンスを行うECサーバを、LBの負荷分散の対象から外す→運用PCからECサーバへアクセス」
そのため、LBを介さずECサーバへアクセスしようとしているということです。
これが通信できない原因です。
XFFは、ソースNATをするように変更した事によって追加するだけで、直接的な通信ができない原因の解決策ではないです。
スレ主さんの質問が解決してるところ申し訳ないのです。
デフォルトゲートウェイをFWzに戻しても、インターネットからのECサーバへのアクセスの、帰りの通信はLB経由する認識なのですが、違うのでしょうか?
私も最後の日曜日にモチベ下がってたので、午後2の過去問解き直しのモチベが出来てよかったです笑ありがとうございます。頑張りましょう!
このスレのNo4で、以下の私の中での認識をお話ししました。
「そのためp13にある、ECサーバで管理しているアクセス元のIPアドレスが分からなくなるからかと思いました。」
また、LBとECサーバはDMZの同一セグメント内なので、LBのIPアドレス(仮想含む)宛の通信がDGWには行かないかと思いました。
宛先を返送時に仮想IPアドレスで指定してしまうと、再度振分が発生してしまうから、LB物理で
①ECサーバ→LB物理(192.168.1.4)
②LB仮想(192.168.1.2)→200.α.β.2(デフォルトゲートウェイ経由)
で、平成27年午後2問1(https://www.nw-siken.com/pdf/27_aki/pm2_1.pdf)の図3のようにしないといけない認識です。
令和5年 午後Ⅱ 問2 設問4 [0571]
Nopさん(No.1)
運用PCからWEBサーバーへのアクセスにXFFが必要となる理由がわからないのでご教授いただけませんでしょうか。
XFFは「送信元IPアドレス」が変わろうともはじめの送信者のIPアドレスを示し続ける。
ゆえにWEBサーバに届いたときLBでソースNATで送信先が変わっても、WEBサーバはクライアントを認識できるというのは理解できます。
分からないのはインターネットからのリクエストにはXFFなしで問題なく通信できているのに、なぜローカルからの場合はなぜクライアントのIPアドレスが必要なのでしょうか?
送信元がローカルの時はWEBサーバーが特殊な制御をするのであればわかるのですが、問題にはそのような記述もなく、途方に暮れています。。
何卒よろしくお願いします
XFFは「送信元IPアドレス」が変わろうともはじめの送信者のIPアドレスを示し続ける。
ゆえにWEBサーバに届いたときLBでソースNATで送信先が変わっても、WEBサーバはクライアントを認識できるというのは理解できます。
分からないのはインターネットからのリクエストにはXFFなしで問題なく通信できているのに、なぜローカルからの場合はなぜクライアントのIPアドレスが必要なのでしょうか?
送信元がローカルの時はWEBサーバーが特殊な制御をするのであればわかるのですが、問題にはそのような記述もなく、途方に暮れています。。
何卒よろしくお願いします
2025.04.13 12:54
にぇさん(No.2)
>インターネットからのリクエストにはXFFなしで問題なく通信できているのに、なぜローカルからの場合はなぜクライアントのIPアドレスが必要なのでしょうか?
X主任が説明しているメンテナンス方法をまとめると、以下のとおりです。
「メンテナンスを行うECサーバを、LBの負荷分散の対象から外す→運用PCからECサーバへアクセス」
そのため、LBを介さずECサーバへアクセスしようとしているということです。
これが通信できない原因です。
XFFは、ソースNATをするように変更した事によって追加するだけで、直接的な通信ができない原因の解決策ではないです。
2025.04.13 14:21
Nopさん(No.3)
にぇさん、ご教授いただいてありがとうございます。
メンテナンスで [LB - メンテ対象ECサーバー] 間を切り離すことを失念しておりました。
そしてすみません。
まだ理解できていないので教えていただければありがたいのですが、、
X主任はW課長の指摘前の案(ソースNATを使わない案)でもメンテでこの切り離し行うつもりだったと思います。
ソースNATを使わない場合はXFFフィールドは必要ないが、
ソースNATを使うとXFFフィールドが必要となるのでしょうか?
本文読んでもソースNATすると気をつけるべき点が見つからなく教えていただけませんでしょうか
メンテナンスで [LB - メンテ対象ECサーバー] 間を切り離すことを失念しておりました。
そしてすみません。
まだ理解できていないので教えていただければありがたいのですが、、
X主任はW課長の指摘前の案(ソースNATを使わない案)でもメンテでこの切り離し行うつもりだったと思います。
ソースNATを使わない場合はXFFフィールドは必要ないが、
ソースNATを使うとXFFフィールドが必要となるのでしょうか?
本文読んでもソースNATすると気をつけるべき点が見つからなく教えていただけませんでしょうか
2025.04.13 16:28
にぇさん(No.4)
ソースNATなので、送信元IPアドレスがクライアントではなくLBサーバに変わります。
そのためp13にある、ECサーバで管理しているアクセス元のIPアドレスが分からなくなるからかと思いました。
そのためp13にある、ECサーバで管理しているアクセス元のIPアドレスが分からなくなるからかと思いました。
2025.04.13 17:27
boyonboyonさん(No.5)
問題文から、
→図よりデフォルトゲートウェイはFWzでしょう。
ここで影響を受けるのは、購買担当者のPCです。
行きでソースNATを行い、帰りはFWzになると戻る場所が分からなくなります。
→XFFが必要。
https://www.nw-siken.com/bbs/0530.html
でも同じような内容を扱っています。参考までに、
>ECサーバに設定するデフォルトゲートウェイを図1の構成時のままとし、
→図よりデフォルトゲートウェイはFWzでしょう。
>LBではソースNATを行うとともに、・・・XFFを追加する。
ここで影響を受けるのは、購買担当者のPCです。
行きでソースNATを行い、帰りはFWzになると戻る場所が分からなくなります。
→XFFが必要。
https://www.nw-siken.com/bbs/0530.html
でも同じような内容を扱っています。参考までに、
2025.04.13 17:50
Nopさん(No.6)
にぇさん、boyonboyonさんありがとうございました。
お二人のコメントをもとに(boyonboyonさんのURLも)X-fowrded-forを調べて、この問いが知識問題だったから自分が理解できなかったんだとわかりました。
(文章のヒントから読み解く問題だと思ってました)
問の中では直接触れられていませんでしたが、きっとFWのNATやLBのソースNATもXFFで送り主の情報をECサーバーに送ってたんですね。
運用PCからのアクセス時にだけログが取れないとまずい(下手するとECサーバーがレスポンス返さない可能性あり)ため運用PCからのアクセスでXFFを追加する運用を提案してたんだと理解しました。
試験前さいごの日曜日の貴重な勉強時間食っちゃいましたが、もう忘れないと思いますw
どうもありがとうございました。
お二人のコメントをもとに(boyonboyonさんのURLも)X-fowrded-forを調べて、この問いが知識問題だったから自分が理解できなかったんだとわかりました。
(文章のヒントから読み解く問題だと思ってました)
問の中では直接触れられていませんでしたが、きっとFWのNATやLBのソースNATもXFFで送り主の情報をECサーバーに送ってたんですね。
運用PCからのアクセス時にだけログが取れないとまずい(下手するとECサーバーがレスポンス返さない可能性あり)ため運用PCからのアクセスでXFFを追加する運用を提案してたんだと理解しました。
試験前さいごの日曜日の貴重な勉強時間食っちゃいましたが、もう忘れないと思いますw
どうもありがとうございました。
2025.04.13 22:52
にぇさん(No.7)
>boyonboyonさん
スレ主さんの質問が解決してるところ申し訳ないのです。
>帰りはFWzになると戻る場所が分からなくなります。
デフォルトゲートウェイをFWzに戻しても、インターネットからのECサーバへのアクセスの、帰りの通信はLB経由する認識なのですが、違うのでしょうか?
>Nopさん
私も最後の日曜日にモチベ下がってたので、午後2の過去問解き直しのモチベが出来てよかったです笑ありがとうございます。頑張りましょう!
2025.04.14 05:49
Nopさん(No.8)
にぇさん
私もそこはLB介してレスポンスする理解です。
DGWは行先不明なパケットを任せる先で、ECサーバはFWzと同じセグメントなのでこの時はDGWは使われないかと。
むしろ運用PCへのレスポンス時は行先を知らないのでDGW(FWz)に任せるんだと思います。
日曜>モチベ上がってよかったです笑 お互い頑張りましょう💪
私もそこはLB介してレスポンスする理解です。
DGWは行先不明なパケットを任せる先で、ECサーバはFWzと同じセグメントなのでこの時はDGWは使われないかと。
むしろ運用PCへのレスポンス時は行先を知らないのでDGW(FWz)に任せるんだと思います。
日曜>モチベ上がってよかったです笑 お互い頑張りましょう💪
2025.04.14 07:19
boyonboyonさん(No.9)
スレ主さん、にぇさん
私もそう思っていたのですが、帰りがLBになるならば、XFFは必要ないと思いました。(記述の必要がない)
そこで、気になったのは、LBのIPアドレスです。
FWzからの宛先は、192.168.1.2、
物理アドレスは、192.168.1.4(SNATの送信元) という2つのIPアドレスが振られています。
もしも、192.168.1.2 の方が優先されるならば、戻りはDGWに行くのかなと思いました。
正直確信はありませんが、このように解釈すると問題文に合うので、、、
>デフォルトゲートウェイをFWzに戻しても、インターネットからのECサーバへのアクセスの、帰りの通信はLB経由する認識なのですが、
私もそう思っていたのですが、帰りがLBになるならば、XFFは必要ないと思いました。(記述の必要がない)
そこで、気になったのは、LBのIPアドレスです。
FWzからの宛先は、192.168.1.2、
物理アドレスは、192.168.1.4(SNATの送信元) という2つのIPアドレスが振られています。
もしも、192.168.1.2 の方が優先されるならば、戻りはDGWに行くのかなと思いました。
正直確信はありませんが、このように解釈すると問題文に合うので、、、
2025.04.14 18:30
にぇさん(No.10)
>帰りがLBになるならば、XFFは必要ない
このスレのNo4で、以下の私の中での認識をお話ししました。
「そのためp13にある、ECサーバで管理しているアクセス元のIPアドレスが分からなくなるからかと思いました。」
また、LBとECサーバはDMZの同一セグメント内なので、LBのIPアドレス(仮想含む)宛の通信がDGWには行かないかと思いました。
2025.04.14 19:02
GinSanaさん(No.11)
この投稿は投稿者により削除されました。(2025.04.14 19:25)
2025.04.14 19:25
GinSanaさん(No.12)
>そこで、気になったのは、LBのIPアドレスです。
>FWzからの宛先は、192.168.1.2、
>物理アドレスは、192.168.1.4(SNATの送信元) という2つのIPアドレスが振られています。
>もしも、192.168.1.2 の方が優先されるならば、戻りはDGWに行くのかなと思いました。
宛先を返送時に仮想IPアドレスで指定してしまうと、再度振分が発生してしまうから、LB物理で
①ECサーバ→LB物理(192.168.1.4)
②LB仮想(192.168.1.2)→200.α.β.2(デフォルトゲートウェイ経由)
で、平成27年午後2問1(https://www.nw-siken.com/pdf/27_aki/pm2_1.pdf)の図3のようにしないといけない認識です。
2025.04.14 19:58
boyonboyonさん(No.13)
今朝、急に気付きました、私は大きな思い違いをしているのではないかと言うことに。
XFFのアドレスは、サーバからの帰りに宛先として使われるという勝手な思い込みです。
ここから始めたので私の書き込みは、ほぼ間違いです。スレ主様、ご意見をいただいた方すみませんでした。
本当は、図5の経路を維持するためのお話だったことにあらためて気付きました。
日曜日の本番に向け残り数日、精進を続けたいと思います。
XFFのアドレスは、サーバからの帰りに宛先として使われるという勝手な思い込みです。
ここから始めたので私の書き込みは、ほぼ間違いです。スレ主様、ご意見をいただいた方すみませんでした。
本当は、図5の経路を維持するためのお話だったことにあらためて気付きました。
日曜日の本番に向け残り数日、精進を続けたいと思います。
2025.04.15 18:09