セキュリティポリシー
プロバイダから以下のグローバル(固定)IPアドレスを取得していると仮定します。
 
  xxx.xxx.xxx.200 〜 xxx.xxx.xxx.207(/29・8個)
 
上記IPアドレスを使用して以下の設定を行い、NAT/IPマスカレード変換を行います。
 
NetGenesisの設定
WAN側 IPマスカレード変換用IPアドレス xxx.xxx.xxx.201
サブネット(変換IPアドレス数) 255.255.255.248(/29・8個)
LAN側 変換後の先頭IPアドレス 192.168.0.0
LANポートIPアドレス/サブネット 192.168.0.1/24

上記設定を行った場合、以下のように変換されます。
グローバルIPアドレス    変換 プライベートIPアドレス
xxx.xxx.xxx.200 ※1 IPアドレス変換されません (192.168.0.0)
xxx.xxx.xxx.201 IPマスカレード 192.168.0.1、192.168.0.7〜192.168.0.254
xxx.xxx.xxx.202 NAT 192.168.0.2
xxx.xxx.xxx.203 NAT 192.168.0.3
xxx.xxx.xxx.204 NAT 192.168.0.4
xxx.xxx.xxx.205 NAT 192.168.0.5
xxx.xxx.xxx.206 NAT 192.168.0.6
xxx.xxx.xxx.207 ※1 IPアドレス変換されません (192.168.0.7) ※2
 
※1: グローバルIPアドレスの先頭「xxx.xxx.xxx.200」(ネットワークアドレス)と最後「xxx.xxx.xxx.207」(ブロードキャストアドレス)はNAT/IPマスカレード変換の対象外となります。
※2: プライベートIPアドレス「192.168.0.7」は、グローバルIPアドレス「xxx.xxx.xxx.201」(WAN側 IPマスカレード変換用IPアドレス)にIPマスカレード変換されます。
 



LAN内にサーバーを3台設置して、NAT変換でインターネット側へ公開します。

  1. LAN側から開始される通信は全て透過します。
ただし、工場出荷値のフィルタを残す場合は、「NetBIOS on TCP/IP」及び「Microsoft-DS」は遮断されます。
  2. WAN側からの通信は、各サーバーの各サービス宛及び、LAN内(NetGenesisを含む)から開始された通信の応答のみ透過します。

注意事項

■「ファイアウォール設定」画面で「設定されていないIPフレームは透過する」を選択して下さい。

■特定のパソコンを対象としたフィルタを設定する場合は、そのパソコンのTCP/IP設定(IPアドレス等)を固定して下さい。

■本設定例は、NetGenesisの動作モード設定(WANポートの設定)のPPPoEポート1(セッション1)を「IPアドレス固定(1〜16個)」に設定した場合の設定例です。
「IPアドレス固定・IPアドレス固定(1〜16個)」に設定した場合は、以降のファイアウォール設定例中の「PPPoE1」を「wan」と置き換えて設定して下さい。

■本設定例では、CUT(遮断)フィルタは必ずPASSの後に設定して下さい。

本設定を行うと、LAN側FTPクライアントからWAN側FTPサーバーへのPASV(Passive)モードでの接続はできなくなります。
FTPクライアントソフト側をポート(Port)モードで接続するように設定して下さい。

本設定を行うと、WWWブラウザからファイルのダウンロードができなくなる場合があります。
(WWWブラウザがFTPサーバーからファイルをダウンロードする場合、PASV(Passive)モードで動作することがあるため。)
その場合、WWWブラウザからではなく、FTPクライアントソフトを使用してポート(Port)モードでFTPサーバーへ接続して下さい。

追加するフィルタ

目的

追加 1
 Action PASS(透過)

 IN  

 PPPoE1

 OUT  

 lan
 IP/Mask :  Src. −(空欄) Dst. 192.168.0.2 AND/OR
 Port No.:  Src. −(空欄) Dst. 80 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側→LAN側方向のWWWサーバー宛の通信を透過します。
(192.168.0.2 = WWWサーバー)
追加 2
 Action PASS(透過)

 IN  

 PPPoE1

 OUT  

 lan
 IP/Mask :  Src. −(空欄) Dst. 192.168.0.2 AND/OR
 Port No.:  Src. −(空欄) Dst. 443 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側→LAN側方向のSSL対応ホームページ宛の通信を透過します。
(192.168.0.2 = WWWサーバー)
SSL対応ホームページを公開しない場合は、本フィルタは不要です。
追加 3
 Action PASS(透過)

 IN  

 PPPoE1

 OUT  

 lan
 IP/Mask :  Src. −(空欄) Dst. 192.168.0.2 AND/OR
 Port No.:  Src. −(空欄) Dst. 20/21 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側FTPクライアント→LAN側FTPサーバー宛の以下の通信を透過します。
WAN側FTPクライアント→LAN側FTPサーバー宛 コントロールセッション
WAN側FTPクライアント→LAN側FTPサーバー宛 ポート(Port)モード データセッション
(192.168.0.2 = FTPサーバー)
追加 4
 Action PASS(透過)

 IN  

 PPPoE1

 OUT  

 lan
 IP/Mask :  Src. −(空欄) Dst. 192.168.0.3 AND/OR
 Port No.:  Src. −(空欄) Dst. 25 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側→LAN側方向の送信メールサーバー(SMTPサーバー)宛の通信を透過します。
(192.168.0.3 = メールサーバー)
追加 5
 Action PASS(透過)

 IN  

 PPPoE1

 OUT  

 lan
 IP/Mask :  Src. −(空欄) Dst. 192.168.0.3 AND/OR
 Port No.:  Src. −(空欄) Dst. 113 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側→LAN側方向の認証付送信メールサーバー(SMTPサーバー)宛の通信を透過します。
(192.168.0.3 = メールサーバー)
追加 6
 Action PASS(透過)

 IN  

 PPPoE1

 OUT  

 lan
 IP/Mask :  Src. −(空欄) Dst. 192.168.0.3 AND/OR
 Port No.:  Src. −(空欄) Dst. 110 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側→LAN側方向の受信メールサーバー(POP3サーバー)宛の通信を透過します。
(192.168.0.3 = メールサーバー)
追加 7
 Action PASS(透過)

 IN  

 PPPoE1

 OUT  

 lan
 IP/Mask :  Src. −(空欄) Dst. 192.168.0.4 AND/OR
 Port No.:  Src. −(空欄) Dst. 53 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
WAN側→LAN側方向のDNSサーバー宛の通信を透過します。
(192.168.0.4 = DNSサーバー)

- 備考 -
LAN内のDNSサーバーをWAN側へ公開する際に、まれにTCPプロトコルを使用することがあります。
TCPプロトコルを透過する場合は、以下を追加して下さい。
 Action PASS(透過)  IN   PPPoE1  OUT   lan
 IP/Mask :  Src. −(空欄) Dst. 192.168.0.4 AND/OR
 Port No.:  Src. −(空欄) Dst. 53 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)

追加 8
 Action PASS(透過)  IN   PPPoE1  OUT   lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags ACK+
WAN側→LAN側方向の応答(ACK及びSYN・ACK)フラグを透過します。
LAN側から開始されたTCP通信の応答をすべて透過します。
追加 9
 Action PASS(透過)  IN   PPPoE1  OUT   lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 20/21 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側FTPサーバー→LAN側FTPクライアント宛以下の通信を透過します。
WAN側FTPサーバー→LAN側FTPクライアント宛 コントロールセッション
WAN側FTPサーバー→LAN側FTPクライアント宛 ポート(Port)モード データセッション
追加 10
 Action PASS(透過)  IN   PPPoE1  OUT   lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 53 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
WAN側→LAN側方向のDNSサーバーからの応答を透過します。
本フィルタはLAN側のパソコンやサーバーがWAN側のDNSサーバーを直接参照する場合に必要です。
NetGenesisのProxyDNS機能のみを使用する(WAN側のDNSサーバーを直接参照しない)場合は本フィルタは不要です。
追加 11
 Action PASS(透過)  IN   PPPoE1  OUT   own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 53 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
WAN側→NetGenesis(ProxyDNS機能)方向のDNSサーバーからの応答を透過します。
追加 12
 Action PASS(透過)  IN   PPPoE1  OUT   lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 123 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
WAN側→LAN側方向のNTP/SNTPサーバーからの応答を透過します。
本フィルタはLAN側のパソコンやサーバーがWAN側のNTP/SNTPサーバーを直接参照する場合に必要です。
NetGenesisのSNTPサーバー/クライアント機能のみを使用する(WAN側のNTP/SNTPサーバーを直接参照しない)場合は本フィルタは不要です。
追加 13
 Action PASS(透過)  IN   PPPoE1  OUT   own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 123 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
WAN側→NetGenesis(SNTPクライアント機能)方向のNTP/SNTPサーバーからの応答を透過します。
追加 14
 Action CUT(遮断)  IN   PPPoE1  OUT   any
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : any Flags −(未設定)
WAN側→LAN側方向の通信、及びWAN側→NetGenesis方向の通信をすべて遮断します。
ただし、追加1から追加13に設定したものは透過されます。
 
- 備考 -
WAN側から各サーバー宛のPING・TRACERTコマンドや、LAN側からWAN側へのPING・TRACERTコマンドに対する応答を透過したい場合、以下のテーブルを追加14より上に追加して下さい。

追加するフィルタ

目的
Action PASS(透過)

IN

 PPPoE1

OUT

 lan
IP/Mask : Src. −(空欄) Dst. −(空欄) AND/OR
Port No.: Src. −(空欄) Dst. −(空欄) AND/OR
DNS QTYPE: −(空欄)
Protocol : ICMP Flags −(未設定)
WAN側→LAN側方向のICMPプロトコルを透過します。
LAN側から実行されたPINGコマンドやTRACERTコマンドに対する応答を透過します。
WAN側から実行された各サーバー宛のPINGコマンドやTRACERTコマンドを透過します。

Copyright © 株式会社マイクロリサーチ All rights reserved.