DMZ 内のリレー
より安全なゾーンにある親リレーと DMZ ネットワーク内のその子リレーの間に永続的な TCP 接続を確立する機能が製品に追加されました。この機能を使用することで、非武装地帯 (DMZ ネットワーク) 内のシステムを管理できます。
DMZ 内のリレーがそのイントラネット・ネットワーク内の親リレーの制御下にある環境では、イントラネットと DMZ 間の通信はすべて、どのようなアップストリーム通信も許可しないファイアウォールを通じて行われると見なすことができます。この場合、DMZ 内の子リレーによる親リレーとの通信開始の試みはすべて失敗します。
この制限は、親リレーと DMZ 内のその子リレーの間に持続的な TCP 接続を確立することで打開できます。永続的な接続は、常に親リレーによって開始されます。ネットワーク制限があるため、通信を子リレーによって開始することはできません。
概要
次の図は、親リレーと子リレー間に確立された持続的な TCP 接続を示しています。
- 緑色: より安全なゾーンにある親リレーと非武装地帯にある子リレー間で確立された持続的な TCP 接続。
- 黄色と黒: 非武装地帯 (DMZ ネットワーク) の範囲を示す線。
親リレーと子リレー双方での永続的な接続の有効化
BigFix クライアントがまだ BigFix サーバーに登録されていなかった子リレーでは
- BigFix コンソールにログインします。
- 親リレー・コンピューターで
Relays in DMZ: Enable Parent Relay and set Child Relay List
Fixlet を実行します。注: Fixlet を実行する前に、「説明」タブのテキスト・フィールドで子リレーのリストを指定する必要があります。 - 子コンピューターに BigFix クライアントを手動でインストールします。詳しくは、『Windows でのクライアント・インストール』と『Linux でのクライアント・インストール』を参照してください。
- 次の Web サイトから、お使いのオペレーティング・システムに適応するパッケージをダウンロードして、子コンピューターに BigFix リレーを手動でインストールします。 http://support.bigfix.com/bes/release/注: 一般的なシナリオでは、まず親リレーで Fixlet を実行してから、子リレーを手動で設定します。
- 子コンピューターで、クライアントとリレーのプロセスが停止していることを確認します。
- Windows の子リレーで、Windows レジストリーに
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\BigFix\EnterpriseClient\Settings\Client\_BESRelay_DMZ_ChildEnable
キーを追加し、その文字列値 (REG_SZ) を 1 に設定します。 - Linux の子リレーでは、besclient.config ファイルがまだ存在していない場合、/var/opt/BESClient/ ディレクトリーにあるファイル besclient.config.default をコピーして名前を besclient.config に変更します。次の新しいセクションを追加して、besclient.config を手動で編集します。
[Software\BigFix\EnterpriseClient\Settings\Client\_BESRelay_DMZ_ChildEnable] value = 1
- まずリレー・プロセスを再始動します。
- リレー・プロセスを再起動して最低 1 分待ってから、クライアント・プロセスを再起動します。
BigFix クライアントが BigFix サーバーに既に登録されていた子リレー
- BigFix コンソールにログインします。
- 親リレー・コンピューターで
Relays in DMZ: Enable Parent Relay and set Child Relay List
Fixlet を実行します。注: Fixlet を実行する前に、「説明」タブのテキスト・フィールドで子リレーのリストを指定する必要があります。 - 子リレー・コンピューターで
Relays in DMZ: Enable Child Relay
Fixlet を実行します。注: 一般的なシナリオでは、まず親リレーで Fixlet を実行してから、子リレーで実行します。 - 両方の Fixlet がリレー・プロセスを再起動します。
永続的な接続の確立
親リレーは、ポート 52311 で子リレーに対してソケットを開こうとします。
子リレーは、親と通信するために親が使用しているソケットをグラブでき、ping メッセージを定期的に送信することによってそのソケットを維持できます。同時に、子リレーはそのループバック・アドレスでのみ、52312 などの異なるポートでの listen を開始します。このポートが使用され、以前にグラブされたソケット (親によって開かれたソケット) を通じてすべてのトラフィックが転送されます。
子リレーに到着するすべての要求のうち (子リレーの下のクライアントの登録が行われるときやレポート目的などで) アップストリームへ伝播する必要があるものは、イントラネット内の親リレーに送信されるようにするため、内部的にループバック・アドレスにルーティングされます。
永続的な接続での通信
この要件を達成するため、親リレーはそれ自体の子リレーと通信を開始し、後で子リレーがアップストリーム通信を必要とする場合に子リレーから親リレーに対して使用できるように、接続が確立した状態を持続させます。
永続的な接続の管理
いくつかの設定を構成することによって DMZ の持続的な接続でリレーを管理できます。詳しくは、DMZ 内のリレーを参照してください。