オンプレをAWSに移行する際のFQDN(暫定対策)
1.内容
オンプレシステムをAWSに移行する際のFQDNに関する注意点
社内ローカルシステムだが、標準では下記のようなFQDNになる。
xxx-yyy-zzz.ap-northeast-1.elb.amazonaws.com
公開する必要が無いFQDNなので、本来はRoute 53 Resolverのプライベートホストゾーンを使用すべき。
プライベートホストゾーンの使用 - Amazon Route 53
2.課題
(1) 名前解決にインターネットを利用する必要がある。
- DirectConnectが正常でも、インターネット回線障害時に名前解決できなくなり、障害点が増える。
(2) プロキシ除外設定が煩雑になる。
- 社内システムは「*.local」のような命名ルールが適用できなくなる。
- 「*.amazonaws.com」で除外するのは、実在サイトを除外するのでまずい。
- FQDN(
xxx-yyy-zzz.ap-northeast-1.elb.amazonaws.com
)で除外すれば安全だが面倒。
if (shExpMatch(host, "*.local")) { return "DIRECT"; } else if (shExpMatch(host, "xxx-yyy-zzz.ap-northeast-1.elb.amazonaws.com")) { return "DIRECT"; } // サーバー毎に書いてらんねぇよ!ヽ(`Д´)ノ
3.暫定対策
FTPSの通信許可
1.内容
FTPS(FTPS - Wikipedia)の通信許可設定方法(netscreen)
接続モード:パッシブ
暗号モード:Explicit
(FTPSは、時代遅れな気がしますが、必要になったので...)
2.考え方
- FTPは、netscreen標準の「FTP」サービスを許可すれば良い。
ALG(Application Level Gateway)によって2段階目のデータ・コネクションも許可される。 - FTPSは通信が暗号化されてしまうため、ALGが機能せずFireWallにブロックされる。
(機種によっては、FTPS用のALG設定可能set security alg ftp ftps-extension
) - そのためダイナミックポートの範囲を追加で許可する必要がある。
3.設定例
set address Trust "TEST-PC" xxx.xxx.xxx.xxx 255.255.255.255 set address DMZ "FTPS-SV" yyy.yyy.yyy.yyy 255.255.255.255 set service "FTPS-PORTS" protocol tcp src-port 49152-65535 dst-port 49152-65535 set policy id <nn> from Trust to DMZ "TEST-PC" "FTPS-SV" FTP permit set policy id <nn> set service "FTPS-PORTS" exit set policy move <nn> after <nn-1> save
4.備考
ダイナミックポートは下記コマンドで確認する(Windows)
>netsh int ipv4 show dynamicport tcp
netscreenで通信がブロックされている時の調査方法
1. 内容
netscreenで通信がブロックされている時の調査方法
2.手順
(1) TeraTermやRLoginでnetscreenに接続して下記を実行
SSG-> get console SSG-> set console dbuf (デバッグ出力先がbufferになっていない場合) SSG-> clear dbuf SSG-> set ffillter src-ip xxx.xxx.xxx.xxx (dst-ip yyy.yyy.yyy.yyy) SSG-> debug flow basic
(2) この後、調査したい通信を実際に発生させる
(3) デバッグログを確認
SSG-> undebug all SSG-> unset ffliter SSG-> set console page 0 SSG-> get dbuf stream
デバッグ停止undebug all
を忘れずに!
3.結果確認
結果を「dropped」や 「deny」で検索して、どの通信がブロックされているか確認する。