セキュリティポリシー
  1. PC1、PC2、サーバーから開始されるWWWサーバー(SSL対応)/FTPサーバー/メールサーバー/プロキシサーバー宛の通信、及びその応答は全て透過します。
(LAN→WAN側への通信開始時)
  2. LAN側サーバーのIPアドレスは192.168.0.100で固定とし、サーバーで運用するサービスはWWWサーバー(SSL対応)/FTPサーバーのみとします。
(WWWサーバーとFTPサーバーをインターネットへ公開します。)
  3. NetGenesisからの通信(ProxyDNS機能/SNTPサーバークライアント機能/DHCPサーバー機能/SYSLOG機能)は全て透過します。
  4 NetGenesisの設定画面への通信を透過します。
  5. 上記1、2、3、4以外の通信は全て遮断します。

注意事項

■「ファイアウォール設定」画面で「設定されていないIPフレームは遮断する」を選択して下さい。

■WAN側へサーバーを公開する場合、IPマスカレードテーブルが設定されていることが前提条件となります。
IPフィルタリングの設定を行う前に、各製品に付属されているCD-ROMに収録されているマニュアルを参照して、IPマスカレードテーブルを設定して下さい。

■特定のパソコンを対象としたフィルタを設定する場合は、そのパソコンのTCP/IP設定(IPアドレス等)を固定して下さい。

■本設定例は、NetGenesisの動作モード設定(WANポートの設定)のPPPoEポート1(セッション1)を「PPPoEクライアント・IPアドレス自動取得」または「IPアドレス固定(1〜16個)」に設定した場合の設定例です。
「DHCPクライアント(IPアドレス自動取得)に設定した場合や、「IPアドレス固定・IPアドレス固定(1〜16個)」に設定した場合は、以降のファイアウォール設定例中の「PPPoE1」を「wan」と置き換えて設定して下さい。

■本設定をPPPoEセッション2に適用する場合は、以降のファイアウォール設定例中の「PPPoE1」を「PPPoE2」と置き換えて設定して下さい。

本設定を行うと、PASV(Passive)モードでのFTP通信ができなくなります。
FTPクライアントソフト側をポート(Port)モードで接続するように設定して下さい。

本設定を行うと、WWWブラウザからファイルのダウンロードができなくなる場合があります。
(WWWブラウザがFTPサーバーからファイルをダウンロードする場合、PASV(Passive)モードで動作することがあるため。)
その場合、WWWブラウザからではなく、FTPクライアントソフトを使用してポート(Port)モードでFTPサーバーへ接続して下さい。

追加するフィルタ

目的
追加 1
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. 192.168.0.100 AND/OR
 Port No.:  Src. −(空欄) Dst. 80 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側→LAN側方向のWWWサーバー宛の通信を透過します。
(192.168.0.100 = WWWサーバー)
追加 2
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. 192.168.0.100 Dst. −(空欄) AND/OR
 Port No.:  Src. 80 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
追加1の応答を透過します。
(192.168.0.100 = WWWサーバー)
追加 3
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. 192.168.0.100 AND/OR
 Port No.:  Src. −(空欄) Dst. 20/21 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側FTPクライアント→LAN側FTPサーバー宛の以下の通信を透過します。
WAN側FTPクライアント→LAN側FTPサーバー宛 コントロールセッション
WAN側FTPクライアント→LAN側FTPサーバー宛 ポート(Port)モード データセッション
(追加4 データセッションに対する応答)

(192.168.0.100 = FTPサーバー)
追加 4
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. 192.168.0.100 Dst. −(空欄) AND/OR
 Port No.:  Src. 20/21 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
LAN側FTPサーバー→WAN側FTPクライアント宛の以下の通信を透過します。
LAN側FTPサーバー→WAN側FTPクライアント宛 コントロールセッション
(追加3 コントロールセッションに対する応答)
LAN側FTPサーバー→WAN側FTPクライアント宛 ポート(Port)モード データセッション

(192.168.0.100 = FTPサーバー)
追加 5
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 53 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
LAN側→WAN側方向のDNSサーバー宛の通信を透過します。
本フィルタはLAN側のパソコンやサーバーがWAN側のDNSサーバーを直接参照する場合に必要です。
NetGenesisのProxyDNS機能のみを使用する(WAN側のDNSサーバーを直接参照しない)場合は本フィルタは不要です。
追加 6
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 53 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
追加5の応答を透過します。
本フィルタはLAN側のパソコンやサーバーがWAN側のDNSサーバーを直接参照する場合に必要です。
NetGenesisのProxyDNS機能のみを使用する(WAN側のDNSサーバーを直接参照しない)場合は本フィルタは不要です。
追加 7
 Action PASS(透過)

 IN

lan

 OUT

own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 53 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
LAN側→NetGenesis(ProxyDNS機能)方向の通信を透過します。
追加 8
 Action PASS(透過)

 IN

own_app

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 53 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
追加7の応答を透過します。
追加 9
 Action PASS(透過)

 IN

own_app

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 53 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
NetGenesis(ProxyDNS機能)→WAN側方向のDNSサーバー宛の通信を透過します。
追加 10
 Action PASS(透過)

 IN

PPPoE1

 OUT

own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 53 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
追加9の応答を透過します。
追加 11
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 123 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
LAN側→WAN側方向のSNTPサーバー宛の通信を透過します。
本フィルタはLAN側のパソコンやサーバーがWAN側のNTP/SNTPサーバーを直接参照する場合に必要です。
NetGenesisのSNTPサーバー/クライアント機能のみを使用する(WAN側のNTP/SNTPサーバーを直接参照しない)場合は本フィルタは不要です。
追加 12
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 123 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
追加11の応答を透過します。
追加 13
 Action PASS(透過)

 IN

own_app

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 123 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
NetGenesis(SNTPクライアント機能)→WAN側方向のNTP/SNTPサーバー宛の通信を透過します。
追加 14
 Action PASS(透過)

 IN

PPPoE1

 OUT

own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 123 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
追加13の応答を透過します。
追加 15
 Action PASS(透過)

 IN

lan

 OUT

own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 123 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
LAN側→NetGenesis(SNTPサーバー機能)方向の通信を透過します。
追加 16
 Action PASS(透過)

 IN

own_app

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 123 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
追加15の応答を透過します。
追加 17
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 80 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
LAN側→WAN側方向のWWWサーバー宛の通信を透過します。
追加 18
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 25 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
LAN側→WAN側方向の送信メールサーバー(SMTPサーバー)宛の通信を透過します。
追加 19
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 110 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
LAN側→WAN側方向の受信メールサーバー(POP3サーバー)宛の通信を透過します。
追加 20
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 443 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
LAN側→WAN側方向のSSL対応ホームページ宛の通信を透過します。
追加 21
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 20/21 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
LAN側FTPクライアント→WAN側FTPサーバー宛の以下の通信を透過します。
LAN側FTPクライアント→WAN側FTPサーバー宛 コントロールセッション
LAN側FTPクライアント→WAN側FTPサーバー宛 ポート(Port)モード データセッション
(追加22 データセッションに対する応答)
追加 22
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 20/21 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側FTPサーバー→LAN側FTPクライアント宛以下の通信を透過します。
WAN側FTPサーバー→LAN側FTPクライアント宛 コントロールセッション
(追加21 コントロールセッションに対する応答)
WAN側FTPサーバー→LAN側FTPクライアント宛 ポート(Port)モード データセッション
追加 23
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 8080 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
LAN側→WAN側方向のProxyサーバー(ポート番号8080)宛の通信を透過します。
追加 24
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags ACK+
LAN側から開始された「TCPプロトコルを使用した通信」の応答(ACK及びSYN・ACK)を全て透過します。
このフィルタにより、追加17〜追加20、追加23の通信の応答を透過します。
追加 25
 Action PASS(透過)

 IN

lan

 OUT

own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 67/68 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
LAN側→NetGenesis(DHCPサーバー機能)方向の通信を透過します。
追加 26
 Action PASS(透過)

 IN

own_app

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 67/68 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
追加25の応答を透過します。
追加 27
 Action PASS(透過)

 IN

lan

 OUT

own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 80 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
NetGenesisの設定画面の通信を透過します。
追加 28
 Action PASS(透過)

 IN

own_app

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 80 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
追加27の応答を透過します。
追加 29
 Action PASS(透過)

 IN

own_app

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 514 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
NetGenesisのSYSLOGをLAN側へ送信します。
 
- 備考 -
WAN側からのサーバー宛のPINGコマンド、TRACERTコマンドや、LAN側からのPINGコマンド、TRACERTコマンドを透過したい場合は、以下のフィルタを必要に応じて追加して下さい。

追加するフィルタ

目的
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : ICMP Flags −(未設定)
LAN側→WAN側方向のICMPプロトコルを透過します。
LAN側から実行されたPINGコマンドやTRACERTコマンドを透過します。
WAN側から実行された各サーバー宛のPINGコマンドやTRACERTコマンドに対する応答を透過します。
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : ICMP Flags −(未設定)
WAN側→LAN側方向のICMPプロトコルを透過します。
LAN側から実行されたPINGコマンドやTRACERTコマンドに対する応答を透過します。
WAN側から実行された各サーバー宛のPINGコマンドやTRACERTコマンドを透過します。
 Action PASS(透過)

 IN

lan

 OUT

own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : ICMP Flags −(未設定)
LAN側→NetGenesis方向のICMPプロトコルを透過します。
LAN側から実行されたNetGenesis宛のPINGコマンドやTRACERTコマンドを透過します。
 Action PASS(透過)

 IN

own_app

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : ICMP Flags −(未設定)
NetGenesis→LAN側方向のICMPプロトコルを透過します。
LAN側から実行されたNetGenesis宛のPINGコマンドやTRACERTコマンドに対する応答を透過します。

また、上記のフィルタは、以下のフィルタで1つにまとめることができます。
Action PASS(透過)

 IN  

 any

 OUT  

 any
IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
DNS QTYPE: −(空欄)
Protocol : ICMP Flags −(未設定)

Copyright © 株式会社マイクロリサーチ All rights reserved.