回答編集履歴

2 追記

tanat

tanat score 8944

2017/03/19 20:57  投稿

#そもそも論
そもそも論としては、セキュリティ対策が十分に行えない状態で社内LAN環境にあるサーバにインターネットからアクセス出来るようにするのはやめた方がいいです。
なぜその必要があるかというところを明確にして、方法自体を変える方向を強くお勧めします。
要件次第ですが、VPNを使ったり、外部にサーバを立てたり等、最適な方法があると思います。
> 社内のLAN構成なのでできるだけ、構成は変えたくありません。
ということなので、安全な場所に隔離することも出来ないとした場合、
何らかの理由でそのサーバが乗っ取られた場合、社内ネットワークに深刻な影響が出る可能性が高いです。
乗っ取られるまでいかなくても、考えらえる悪影響はいくらでもあります。
社内ではなく、自宅のネットワークなら好きにしても問題ないと思いますが、社内ネットワークではお勧めできることではありません。
よほど切実な理由がない限り、
500円/月くらいのVPSでも何でも使って、独立した場所に置くことをお勧めします。
#技術的な部分
技術的な部分としては、
> 3、BHR-4GRV2のIPフィルターで以下の設定を実施。
> ・動作:通過
> ・方向:LAN->Internet
> ・送信元IP:192.168.12.3
> ・宛先:xxx.xxx.xxx.xxx(WAN側のIPアドレス)
> ・プロトコル:HTTP(TCPポート:80)
> ・任意のTCP/UDPポート:80
について、LANからInternetへの通信(ここではHTTP/HTTPSのレスポンス)のTCPポートを任意(もしくはLAN→インターネット方向へのフィルタリングはしない)に指定してみてください。
HTTPではクライアント→サーバ側のポートは80番で通信されますが、サーバ→クライアントはクライアント側で空いている適当なポートを適宜使用するので80番だけ空いていてもパケットが戻れません(そのため、504 エラーが帰ってきてると思います)
ただ、それよりは
PR-400KI直下にサーバを配置して、
設定メニューの静的NAT設定にある、webサーバ公開 の設定を使った方が確実かと思います。
二重にルータがある状態は問題発生時の原因の切り分けを難しくしてしまいます。
二重にルータがある状態は問題発生時の原因の切り分けを難しくしてしまいます。
#動作確認について
動作確認は携帯電話のネットワークなど、LANの外から確認するのがお勧めです。
(出来れば、そのタイミングでのIPを確認して限定的に穴を開ける)
社内から自分のグローバルIP宛にアクセスする場合より、問題の原因解決が楽なことが多いです。
1 追記

tanat

tanat score 8944

2017/03/19 20:07  投稿

#そもそも論
そもそも論としては、セキュリティ対策が十分に行えない状態で社内LAN環境にあるサーバにインターネットからアクセス出来るようにするのはやめた方がいいです。
なぜその必要があるかというところを明確にして、方法自体を変える方向を強くお勧めします。
要件次第ですが、VPNを使ったり、外部にサーバを立てたり等、最適な方法があると思います。
> 社内のLAN構成なのでできるだけ、構成は変えたくありません。
ということなので、安全な場所に隔離することも出来ないとした場合、
何らかの理由でそのサーバが乗っ取られた場合、社内ネットワークに深刻な影響が出る可能性が高いです。
乗っ取られるまでいかなくても、考えらえる悪影響はいくらでもあります。
社内ではなく、自宅のネットワークなら好きにしても問題ないと思いますが、社内ネットワークではお勧めできることではありません。
よほど切実な理由がない限り、
500円/月くらいのVPSでも何でも使って、独立した場所に置くことをお勧めします。
#技術的な部分
技術的な部分としては、
> 3、BHR-4GRV2のIPフィルターで以下の設定を実施。
> ・動作:通過
> ・方向:LAN->Internet
> ・送信元IP:192.168.12.3
> ・宛先:xxx.xxx.xxx.xxx(WAN側のIPアドレス)
> ・プロトコル:HTTP(TCPポート:80)
> ・任意のTCP/UDPポート:80
について、LANからInternetへの通信(ここではHTTP/HTTPSのレスポンス)のTCPポートを任意(もしくはLAN→インターネット方向へのフィルタリングはしない)に指定してみてください。
HTTPではクライアント→サーバ側のポートは80番で通信されますが、サーバ→クライアントはクライアント側で空いている適当なポートを適宜使用するので80番だけ空いていてもパケットが戻れません(そのため、504 エラーが帰ってきてると思います)
ただ、それよりは
PR-400KI直下にサーバを配置して、
の静的NAT設定にある、webサーバ公開 の設定を使った方がk
設定メニューの静的NAT設定にある、webサーバ公開 の設定を使った方が確実かと思います。
二重にルータがある状態は問題発生時の原因の切り分けを難しくしてしまいます。

思考するエンジニアのためのQ&Aサイト「teratail」について詳しく知る