セキュリティポリシー
プロバイダから以下のグローバル(固定)IPアドレスを取得していると仮定します。
 
  xxx.xxx.xxx.200 〜 xxx.xxx.xxx.207(/29・8個)
 
NetGenesisをアンナンバード(IPアドレス無変換)に設定し、上記のグローバル(固定)IPアドレスをLAN内で使用します。



LAN内に上記4台のサーバーを設置し、インターネット側へ公開します。

  1. LAN側から開始される通信は全て透過します。
ただし、工場出荷値のフィルタを残す場合は、「NetBIOS on TCP/IP」及び「Microsoft-DS」は遮断されます。
  2. WAN側からの通信は、各サーバーの各サービス宛及び、LAN内(NetGenesisを含む)から開始された通信の応答のみ透過します。

注意事項

■「ファイアウォール設定」画面で「設定されていないIPフレームは透過する」を選択して下さい。

■特定のパソコンを対象としたフィルタを設定する場合は、そのパソコンのTCP/IP設定(IPアドレス等)を固定して下さい。

■本設定例は、NetGenesisの動作モード設定(WANポートの設定)のPPPoEポート1(セッション1)を「アンナンバード(unnumbered)」に設定した場合の設定例です。
「IPアドレス固定・アンナンバード(unnumbered)」に設定した場合は、以降のファイアウォール設定例中の「PPPoE1」を「wan」と置き換えて設定して下さい。

■本設定例では、CUT(遮断)フィルタは必ずPASSの後に設定して下さい。

本設定を行うと、LAN側FTPクライアントからWAN側FTPサーバーへのPASV(Passive)モードでの接続はできなくなります。
FTPクライアントソフト側をポート(Port)モードで接続するように設定して下さい。

本設定を行うと、WWWブラウザからファイルのダウンロードができなくなる場合があります。
(WWWブラウザがFTPサーバーからファイルをダウンロードする場合、PASV(Passive)モードで動作することがあるため。)
その場合、WWWブラウザからではなく、FTPクライアントソフトを使用してポート(Port)モードでFTPサーバーへ接続して下さい。

追加するフィルタ

目的

追加 1
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. xxx.xxx.xxx.202 AND/OR
 Port No.:  Src. −(空欄) Dst. 80 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側→LAN側方向のWWWサーバー宛の通信を透過します。
(xxx.xxx.xxx.202 = WWWサーバー)
追加 2
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. xxx.xxx.xxx.202 AND/OR
 Port No.:  Src. −(空欄) Dst. 443 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側→LAN側方向のSSL対応ホームページへの通信を透過します。
(xxx.xxx.xxx.202 = WWWサーバー)
SSL対応ホームページを公開しない場合は、本フィルタは不要です。
追加 3
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. xxx.xxx.xxx.203 AND/OR
 Port No.:  Src. −(空欄) Dst. 20/21 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側→LAN側方向のFTPサーバー宛の通信を透過します。
(xxx.xxx.xxx.203 = FTPサーバー)
追加 4
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. xxx.xxx.xxx.204 AND/OR
 Port No.:  Src. −(空欄) Dst. 25 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側→LAN側方向の送信メールサーバー(SMTPサーバー)宛の通信を透過します。
(xxx.xxx.xxx.204 = メールサーバー)
追加 5
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. xxx.xxx.xxx.204 AND/OR
 Port No.:  Src. −(空欄) Dst. 113 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側→LAN側方向の認証付送信メールサーバー(SMTPサーバー)宛の通信を透過します。
(xxx.xxx.xxx.204 = メールサーバー)
追加 6
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. xxx.xxx.xxx.204 AND/OR
 Port No.:  Src. −(空欄) Dst. 110 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側→LAN側方向の受信メールサーバー(POP3サーバー)宛の通信を透過します。
(xxx.xxx.xxx.204 = メールサーバー)
追加 7
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. xxx.xxx.xxx.205 AND/OR
 Port No.:  Src. −(空欄) Dst. 53 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
WAN側→LAN側方向のDNSサーバー宛の通信を透過します。
(xxx.xxx.xxx.205 = DNSサーバー)

- 備考 -
LAN内のDNSサーバーをWAN側へ公開する際に、まれにTCPプロトコルを使用することがあります。
TCPプロトコルを透過する場合は、以下を追加して下さい。
 Action PASS(透過)  IN   PPPoE1  OUT   lan
 IP/Mask :  Src. −(空欄) Dst. xxx.xxx.xxx.205 AND/OR
 Port No.:  Src. −(空欄) Dst. 53 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)

追加 8
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags +ACK
WAN側→LAN側方向の応答(ACK及びSYN・ACK)フラグを透過します。
LAN側から開始されたTCP通信の応答をすべて透過します。
追加 9
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 20/21 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
LAN内からWAN側のFTPサーバーへ、ポート(Port)モードで接続する際のFTPサーバーからのデータセッションとコントロールセッションを透過します。
追加 10
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 53 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
WAN側→LAN側方向のDNSサーバーからの応答を透過します。
本フィルタはLAN側のパソコンやサーバーがWAN側のDNSサーバーを直接参照する場合に必要です。
NetGenesisのProxyDNS機能のみを使用する(WAN側のDNSサーバーを直接参照しない)場合は本フィルタは不要です。
追加 11
 Action PASS(透過)

 IN

PPPoE1

 OUT

own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 53 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
WAN側→NetGenesis(ProxyDNS機能)方向のDNSサーバーからの応答を透過します。
追加 12
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 123 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
WAN側→LAN側方向のNTP/SNTPサーバーからの応答を透過します。
本フィルタはLAN側のパソコンやサーバーがWAN側のNTP/SNTPサーバーを直接参照する場合に必要です。
NetGenesisのSNTPサーバー/クライアント機能のみを使用する(WAN側のNTP/SNTPサーバーを直接参照しない)場合は本フィルタは不要です。
追加 13
 Action PASS(透過)

 IN

PPPoE1

 OUT

own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 123 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
WAN側→NetGenesis(SNTPクライアント機能)方向のNTP/SNTPサーバーからの応答を透過します。
追加 14
 Action CUT(遮断)

 IN

PPPoE1

 OUT

any
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : any Flags −(未設定)
WAN側→LAN側方向の通信、及びWAN側→NetGenesis方向の通信をすべて遮断します。
ただし、追加1から追加13に設定したものは透過されます。

- 備考 -
WAN側から各サーバー宛、及びNetGenesis宛のPING・TRACERTコマンドや、LAN側からWAN側へのPING・TRACERTコマンドに対する応答を透過したい場合、以下のフィルタを追加14より上に追加して下さい。

追加するフィルタ

目的

 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : ICMP Flags −(未設定)
WAN側→LAN側方向のICMPプロトコルを透過します。
LAN側から実行されたPINGコマンドやTRACERTコマンドに対する応答を透過します。
WAN側から実行された各サーバー宛のPINGコマンドやTRACERTコマンドを透過します。
Action PASS(透過)

 IN

PPPoE1

 OUT

own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : ICMP Flags −(未設定)
WAN側→NetGenesis方向のICMPプロトコルを透過します。
WAN側から実行されたNetGenesis宛のPINGコマンドやTRACERTコマンドを透過します。

また、上記のフィルタは、以下のフィルタで一つにまとめることができます。
 Action PASS(透過)

 IN

PPPoE1

 OUT

any
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : ICMP Flags −(未設定)

Copyright © 株式会社マイクロリサーチ All rights reserved.