12-4.ファイアウォール設定

ファイアウォール(IPフィルタ)の設定について説明します。

はじめに
  ファイアウォール(IPフィルタ)の設定を行うには、TCP/IPプロトコルの知識が必要です。
  誤った設定を行うと、NetGenesisが正常に動作しなくなる原因となりますので、注意して下さい。
  弊社インターネットホームページの「サポート&ダウンロード」にて、ファイアウォール設定例を公開しています。
  http://www.mrl.co.jp/support.htm
 
 * 上記のURLへアクセスするためには、インターネット接続の設定が完了している必要があります。
  登録可能なIPフィルタ情報数は最大64個です。
  工場出荷値の情報(4個)を残したままIPフィルタ情報を追加登録する場合、60個まで追加登録可能です。
  IPv6フレームはファイアウォール機能で制御することはできません。
  IPv6フレームに対するセキュリティ対策は、端末側で行って下さい。

 
以下の内容を参照して下さい。
 仕様と工場出荷値
 設定手順
 
12.LANポートの設定 へ戻る
仕様と工場出荷値

ファイアウォール(IPフィルタ)の仕様と工場出荷値について説明します。
  NetGenesisのファイアウォール(IPフィルタ)仕様
  NetGenesisのファイアウォール(IPフィルタ)仕様は以下の通りです。
  レイヤー3フィルタリング制御
  IPフレーム、及びICMPフレームをフィルタリング制御の対象とします。
その他のレイヤー3プロトコル(IPX等)は全て遮断します。
  レイヤー4フィルタリング制御
  TCP、UDP、GRE、ESP、AH、EtherIPをフィルタリング制御の対象とします。
(その他のレイヤー4プロトコルについては、プロトコル番号を指定することにより、フィルタリング制御が可能。)
  また、TCP/UDPについては以下のフィルタリング制御を行うことが可能です。
 
・TCP制御 ポート番号とフラグの監視をします。
・UDP制御 ポート番号の監視をします。
  NetGenesisの工場出荷値
  NetGenesisの工場出荷値では、以下の制御を行います。
  NetBIOS on TCP/IPを遮断(TCPプロトコル及びUDPプロトコル)
  Microsoft-DSを遮断(TCPプロトコル及びUDPプロトコル)
   ※同一LAN内での利用は可能です。
  IPフィルタの動作
  登録リストは優先順位の高い順番になっています。
  NetGenesisを通るIPフレームは登録リストの登録順に従ってフィルタリングされます。
 動作例)
 ・ 設定されていないIPフレームは透過(PASS)する。
 ・ NetGenesisのLAN側からWAN側へのIPフレームをIPフィルタの対象とする。
(登録したIPフィルタ情報に合致した場合は遮断・CUTする。)
  DMZホスト機能・有効時、及びIPマスカレードテーブルを設定しても、ファイアウォール(IPフィルタ)の設定で遮断(WAN側→LAN側)するように設定したプロトコル・ポート番号は、ファイアウォール(IPフィルタ)の設定に基づき遮断されます。
詳しくは 10.サーバー公開を行う −IPアドレス変換有効時− (IPマスカレードテーブル設定とDMZホスト機能の設定) を参照して下さい。
 
12-4.ファイアウォール設定 へ戻る
設定手順

ファイアウォール設定の手順(IPフィルタ情報の登録)について説明します。

設定画面のメニューの「LANポートの設定」の中の、[ファイアウォール設定]をクリックして下さい。


 
IPフレームの透過と遮断について
工場出荷値では[設定されていないIPフレームは透過(PASS)する]が選択されています。
通常はそのまま変更せず、既存のIPフィルタ情報に設定を追加することを推奨します。
[設定されていないIPフレームは遮断(CUT)する]へ変更する場合、設定したい内容を明確化し、LAN管理者等と相談の上、慎重に設定して下さい。
[設定されていないIPフレームは遮断(CUT)する]に設定する場合、設定を誤るとNetGenesisの設定画面へログオンできなくなることがあります。
 例) ・パソコンのTCP/IP設定が「自動取得」になっている。
  ・NetGenesisのDHCPサーバーを使用する。
 
 → NetGenesisのDHCPサーバーへの接続を許可するためのIPフィルタ情報を登録し忘れると、パソコンがNetGenesisからIPアドレスを取得できなくなるため、NetGenesisの設定画面へログオンできなくなります。
(参考 NetGenesisのDHCPサーバーへの接続を許可するためのIPフィルタ情報)
この場合、以下の2通りの対処法があります。
  対処法 その1) NetGenesis背面のRESETボタンを使用する
     NetGenesis背面のRESETボタンを使用することにより、NetGenesisの全ての設定を工場出荷値に戻すことが可能です。(この場合、NetGenesisの再設定が必要です。)
  RESETボタンについては以下を参照して下さい。
 
 Q&A集 全ての設定を工場出荷値に戻したい
 
 ※ RESETボタンを使用した後、パソコンを再起動して下さい。
  対処法 その2) パソコンのIPアドレスを「自動取得」から「IPアドレスを固定」に変更する
     パソコンのIPアドレスをNetGenesisのLANポートIPアドレスと同一ネットワークのIPアドレスに設定することにより、NetGenesisの設定画面へログオンできるようになります。
  それぞれ、使用するオペレーティングシステムに応じて以下を参照して下さい。
 
2-1.Windows 7 のTCP/IP設定 (IPアドレスを指定する)
2-2.Windows Vista のTCP/IP設定 (IPアドレスを指定する)
2-3.Windows XP のTCP/IP設定 (IPアドレスを指定する)
2-4.Windows 2000 のTCP/IP設定 (IPアドレスを指定する)
2-5.Windows 98/Me のTCP/IP設定 (IPアドレスを指定する)
2-6.Mac OS X のTCP/IP設定 (IPアドレスを指定する)
2-7.Mac OS 9.x のTCP/IP設定 (IPアドレスを指定する)
 
本設定画面は設定項目が多いため、WWWブラウザを全画面表示にすると、作業を行いやすくなります。
 
  1. 登録リスト 最後のエントリの下の[編集]ボタンをクリックして下さい。


     
    「ファイアウォール リスト追加・編集」画面が表示されます。


     
  2. [Action]の行の設定を行います。


     
      Action
    フィルタリング動作を指定します。
    [▼]をクリックし、候補の中から選択して下さい。
    PASS(透過) 各設定に従い、指定したIPフレームを透過します。
    CUT(遮断) 各設定に従い、指定したIPフレームを遮断します。
    NC_CUT(未接続時・遮断) WANポートの動作モード設定でPPPoE接続使用時に、回線未接続時のみ遮断します。
    回線接続時は透過します。
     
      IN OUT
    INはNetGenesisの入力ポートを、OUTはNetGenesisの出力ポートを設定し、NetGenesisを経由する対象IPフレームを指定します。
    INOUTは両方を必ず設定して下さい。
    [▼]をクリックし、候補の中から選択して下さい。
    any WANポート、LANポート、PPPoEポート1〜4、及びNetGenesisのアプリケーション、全ポートが対象となります。
    wan WANポートです。(※1)
    lan LANポートです。(※2)
    PPPoE1 PPPoEポート1(セッション1)です。
    PPPoE2 PPPoEポート2(セッション2)です。
    PPPoE3 PPPoEポート3(セッション3)です。
    PPPoE4 PPPoEポート4(セッション4)です。
    own_app NetGenesisのアプリケーション(ProxyDNS、SNTPサーバー・クライアント、DHCPサーバー等)です。(※3)
     ※1: WANポートで以下の動作モードを選択した場合に該当します。
     ・ DHCPクライアント IPアドレス自動取得 [IPマスカレード変換有効]
     ・ IPアドレス固定(1〜16個) [IPマスカレード変換有効]
     ・ IPアドレス固定 アンナンバード(unnumbered) [IPアドレス変換無効]
     ・ ローカルルータ [IPアドレス変換無効]
     ※2: INとOUTの両方を[lan]に設定してもHUB間のフィルタリングはできません。
     ※3: NetGenesisのLANポートIPアドレスを対象とする場合、対象ポートを「own_app」にします。
     
      【 参考例 】
    設定例 対象となるIPフレーム
    例1 [IN]=[wan] WANポートからLANポートへのIPフレームを対象とする。
    [OUT]=[lan]
    例2 [IN]=[lan] LANポートからNetGenesisのアプリケーションへのIPフレームを対象とする。
    [OUT]=[own_app]
    例3 [IN]=[own_app] NetGenesisのアプリケーションからWANポートへのIPフレームを対象とする。
    [OUT]=[wan]
    例4 [IN]=[PPPoE1] PPPoEポート1(セッション1)からLANポートへのIPフレームを対象とする。
    [OUT]=[lan]

  3. [IP/Mask]の行の設定を行います。
     ※ 本設定は必須ではありません。必要に応じて設定を行って下さい。


     
      IP/Mask Src.
      送信元(Source)のIPアドレスやネットワークアドレスを指定します。
      入力欄に「IPアドレス/サブネットマスクのビット数」を入力して下さい。
    サブネットマスクのビット数を入力しない場合は、ユニキャストIPアドレス(/32)となります。
    リストに追加すると自動的に「/32」が付加されます。
     
      IP/Mask Dst.
      送信先(Destination)のIPアドレスやネットワークアドレスを指定します。
      IP/MaskのSrc.と同じ要領で入力して下さい。
     
     
     * サブネットマスクのビット数については、付録・IPアドレス範囲(IPアドレス/サブネット) 早見表 を参考にして下さい。
      (WWWブラウザの別ウィンドウが開きます。)
     
      【 IP/MaskのSrc.とDst.の設定について 】
     Case1)[Src.]と[Dst.]の両方を設定した場合
      → [Src.]で指定したアドレスから発信され、[Dst.]で指定した送信先に送られるIPフレームを対象とします。
     Case2)[Src.]のみを設定した場合
      → [Src.]で指定したアドレスから発信された、全てのIPフレームを対象とします。
     Case3)[Dst.]のみを設定した場合
      → [Dst.]で指定した送信先に送られる、全てのIPフレームを対象とします。
     Case4)[Src.]と[Dst.]の両方とも設定しない場合
      → 送信元、送信先のアドレスによる特定はなく、全てのIPフレームを対象とします。
     
      IP/MaskANDOR
    Src.Dst.の両方を設定した場合に選択して下さい。
    AND [Src.]と[Dst.]の両方の条件が合致した場合のみを対象とします。
    OR [Src.]と[Dst.]のどちらか片方の条件が合致した場合を対象とします。
     
      【 参考例 】
    対象とするアドレス   IP/Maskの設定  
    例1  以下のネットワークを対象とする  
      ・ネットワークアドレス:192.168.0.0
      ・サブネット:/24(255.255.255.0)    		 192.168.0.0/24
    例2  以下のネットワークを対象とする  
      ・ネットワークアドレス:192.168.0.128
      ・サブネット:/25(255.255.255.128)    		 192.168.0.128/25
    例3  IPアドレス:192.168.0.88 を対象とする 192.168.0.88
    例4  以下のIPアドレス範囲をを対象とする
      ・IPアドレス:192.168.0.80〜95    		 192.168.0.80/28
     
     
     *    		  
    上記以外のサブネット値については、付録・IPアドレス範囲(IPアドレス/サブネット) 早見表 を参考にして下さい。
      (WWWブラウザの別ウィンドウが開きます。)

  4. [Port No]の行の設定を行います。
     ※ 本設定は必須ではありません。必要に応じて設定を行って下さい。


     
      Port No. Src.
    送信元(Source)のプロトコルやサービスのポート番号を指定します。
    入力欄にポート番号を入力して下さい。
     
      Port No. Dst.
    送信先(Destination)のプロトコルやサービスのポート番号を指定します。
    入力欄にポート番号を入力して下さい。
     ※ [Src.]及び[Dst.]入力欄は、ポート番号とポート番号の間に「/」を入れることで、範囲を指定することができます。
      例 : 「20/23」 = 20(ftp-data)から 23(telnet)まで。
     
      【 Port No.のSrc.とDst.の設定について 】
     Case1)[Src.]と[Dst.]の両方を設定した場合
      → [Src.]で指定したポート番号から発信され、[Dst.]で指定したポート番号へ送られるIPフレームを対象とします。
     Case2)[Src.]のみを設定した場合
      → [Src.]で指定したポート番号から発信された、全てのIPフレームを対象とします。
     Case3)[Dst.]のみを設定した場合
      → [Dst.]で指定したポート番号に送られる、全てのIPフレームを対象とします。
     Case4)[Src.]と[Dst.]の両方とも設定しない場合
      → 送信元、送信先のポート番号による特定はなく、全てのIPフレームを対象とします。
     
      Port NoANDOR
    Src.Dst.の両方を設定した場合に選択して下さい。
    AND [Src.]と[Dst.]の両方の条件が合致した場合のみを対象とします。
    OR [Src.]と[Dst.]のどちらか片方の条件が合致した場合を対象とします。
     
      DNS QTYPE
      [Port No.]で「domain」もしくは「53」を指定し、[Protocol]で「UDP」を指定した場合のみ、DNSのQTYPEを指定することが可能です。
     
    ウェルノウンポート一覧とDNS QTYPE一覧について
     ・ウェルノウンポートについてはプロトコル名またはサービス名での入力も可能です。
     ・DNS QTYPEについてはタイプ名、または番号での入力も可能です。
    (NetGenesisの設定画面と別のウィンドウが開きます。「ウェルノウンポート一覧」画面、「DNS QTYPE キーワード一覧」画面ともにコピーが可能です。)

  5. [Protocol]の行の設定を行います。


     
      Protocol
    対象とするプロトコルを設定します。
    [▼]をクリックし、候補の中から選択して下さい。
    ANY ICMP、TCP、UDP、GRE、ESP、AH、EtherIPプロトコルを対象とします。
     ※ ICMPプロトコルは「Port No」の設定に関わりなく、常に処理の対象となりますので注意して下さい。(「IP Mask」の設定は反映されます。)
    ICMP ICMPプロトコルを対象とします。
    TCP TCPプロトコルを対象とします。
    UDP UDPプロトコルを対象とします。
    GRE GREプロトコルを対象とします。
    ESP ESPプロトコルを対象とします。
    AH AHプロトコルを対象とします。
    EtherIP EtherIPプロトコルを対象とします。
    ユーザー指定 任意のプロトコル番号を対象とします。
    「ユーザー指定プロトコル番号」欄に、対象とするプロトコル番号を入力して下さい。
     参考情報 :  プロトコル番号一覧
     
      TCP Flag
      TCPプロトコルを対象とする場合は、フラグの指定が可能です。
     
      指定可能なフラグは以下の6種類です。
    URG アージェント(緊急データ)フラグです。
    ACK アック(応答)フラグです。
    PSH プッシュ(押出し)フラグです。
    RST リセット(強制終了)フラグです。
    SYN シンク(接続)フラグです。
    FIN ファイナル(終了)フラグです。
     
    各フラグ名のボタンをクリックすると、以下の順番に表示が変わります。
    表示に対しての設定動作は以下の通りです。
    (XXX) そのフラグを対象としません。(無視)
    +XXX そのフラグがON(ビットが1)の場合を対象とします。
    -XXX そのフラグがOFF(ビットが0)の場合を対象とします。
     ※ XXXには各フラグ名が入ります。
    +XXXと-XXXを組み合わせた場合、全ての条件と合致した場合(AND)のみを対象とします。

  6. 全ての設定が完了しましたら、[追加]ボタンをクリックして下さい。



    [追加]ボタンをクリックすると、既存のエントリの最後尾に「編集を行ったIPフィルタ情報」が追加されます。
     
     チェック!
    		登録リストの順番が、そのまま処理の「優先順位」になります。
    「追加したエントリが最後尾にある=一番最後に処理される」ということになりますので、必要に応じて追加したエントリを移動して下さい。
以上でホスト情報(1エントリ)の登録は完了です。
 
  エントリ右横のボタンについて
  既存のエントリを編集(修正)、移動する際に使用します。
 
  操作方法については 登録リストを有する画面に表示されるボタン (3-3.設定画面内のボタンの意味) を参照して下さい。


設定が完了しましたら、[設定]ボタンをクリックして下さい。


 
 
全ての設定が完了した場合は、
左のメニューの   設定の更新   をクリックして下さい。
  "設定の更新" と "NetGenesisの再起動" を行って下さい。
  詳しくは 3-4.設定の終了(更新・再起動) を参照して下さい。
  引き続き設定を行う場合は、左のメニューをクリックし、必要な設定を行って下さい。
 
12-4.ファイアウォール設定 へ戻る