DMZ 内のリレー

パッチ 13 以降では、より安全なゾーンにある親リレーと DMZ ネットワーク内のその子リレーの間に持続的な TCP 接続を確立する機能が製品に追加されています。この機能を使用することで、非武装地帯 (DMZ ネットワーク) 内のシステムを管理できます。

DMZ 内のリレーがそのイントラネット・ネットワーク内の親リレーの制御下にある環境では、イントラネットと DMZ 間の通信はすべて、どのようなアップストリーム通信も許可しないファイアウォールを通じて行われると見なすことができます。この場合、DMZ 内の子リレーによる親リレーとの通信開始の試みはすべて失敗します。

この制限は、親リレーと DMZ 内のその子リレーの間に持続的な TCP 接続を確立することで打開できます。永続的な接続は、常に親リレーによって開始されます。ネットワーク制限があるため、通信を子リレーによって開始することはできません。

概要

次の図は、親リレーと子リレー間に確立された持続的な TCP 接続を示しています。


DMZ

この図には以下のものが示されています。
  • 緑色: より安全なゾーンにある親リレーと非武装地帯にある子リレー間で確立された持続的な TCP 接続。
  • 黄色と黒: 非武装地帯 (DMZ ネットワーク) の範囲を示す線。

親リレーと子リレー双方での永続的な接続の有効化

BigFix クライアントがまだ BigFix サーバーに登録されていなかった子リレーでは

  1. BigFix コンソールにログインします。
  2. 親リレー・コンピューターで Relays in DMZ: Enable Parent Relay and set Child Relay List Fixlet を実行します。
    注: Fixlet を実行する前に、「説明」タブのテキスト・フィールドで子リレーのリストを指定する必要があります。
  3. 子コンピューターに BigFix クライアントを手動でインストールします。詳細は、「クライアントの手動インストール」を参照してください。
  4. 次の Web サイトから、お使いのオペレーティング・システムに適応するパッケージをダウンロードして、子コンピューターに BigFix リレーを手動でインストールします。 http://support.bigfix.com/bes/release/
    注: 一般的なシナリオでは、まず親リレーで Fixlet を実行してから、子リレーを手動で設定します。
  5. 子コンピューターで、クライアントとリレーのプロセスが停止していることを確認します。
  6. Windows の子リレーで、Windows レジストリーに HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\BigFix\EnterpriseClient\Settings\Client\_BESRelay_DMZ_ChildEnable キーを追加し、その文字列値 (REG_SZ) を 1 に設定します。
  7. Linux の子リレーでは、besclient.config ファイルがまだ存在していない場合、 /var/opt/BESClient/ ディレクトリーにあるファイル besclient.config.default をコピーして名前を besclient.config に変更します。次の新しいセクションを追加して、besclient.config を手動で編集します。
    [Software\BigFix\EnterpriseClient\Settings\Client\_BESRelay_DMZ_ChildEnable]
value                          = 1
  8. まずリレー・プロセスを再始動します。
  9. リレー・プロセスを再起動して最低 1 分待ってから、クライアント・プロセスを再起動します。
注: 親リレーが認証リレーとして設定されている場合、リレー認証を一時的に無効にし、子リレーの初めての登録が正常にできるようにする必要がある可能性があります。子リレーが正常に登録されたら、リレー認証を再び有効にします。

BigFix クライアントが BigFix サーバーに既に登録されていた子リレー

  1. BigFix コンソールにログインします。
  2. 親リレー・コンピューターで Relays in DMZ: Enable Parent Relay and set Child Relay List Fixlet を実行します。
    注: Fixlet を実行する前に、「説明」タブのテキスト・フィールドで子リレーのリストを指定する必要があります。
  3. 子リレー・コンピューターで Relays in DMZ: Enable Child Relay Fixlet を実行します。
    注: 一般的なシナリオでは、まず親リレーで Fixlet を実行してから、子リレーで実行します。
  4. 両方の Fixlet がリレー・プロセスを再起動します。

永続的な接続の確立

親リレーは、ポート 52311 で子リレーに対してソケットを開こうとします。

子リレーは、親と通信するために親が使用しているソケットをグラブでき、ping メッセージを定期的に送信することによってそのソケットを維持できます。同時に、子リレーはそのループバック・アドレスでのみ、52312 などの異なるポートでの listen を開始します。このポートが使用され、以前にグラブされたソケット (親によって開かれたソケット) を通じてすべてのトラフィックが転送されます。

子リレーに到着するすべての要求のうち (子リレーの下のクライアントの登録が行われるときやレポート目的などで) アップストリームへ伝播する必要があるものは、イントラネット内の親リレーに送信されるようにするため、内部的にループバック・アドレスにルーティングされます。

永続的な接続での通信

この要件を達成するため、親リレーはそれ自体の子リレーと通信を開始し、後で子リレーがアップストリーム通信を必要とする場合に子リレーから親リレーに対して使用できるように、接続が確立した状態を持続させます。

永続的な接続の管理

いくつかの設定を構成することによって DMZ の持続的な接続でリレーを管理できます。詳しくは、BigFix 構成設定DMZ 内のリレーを参照してください。