7-4-3 設定例

ファイアウォール(IPフィルタ)の設定例について説明します。

必要に応じて参照して下さい。
  透過(PASS)を元とした設定例
「設定されていないIPフレームは透過(PASS)する」(工場出荷値)を元にした設定例です。
「LAN内の一部のパソコン(IPアドレス)からは、インターネットへの接続を禁止する」ための設定例です。
  遮断(CUT)を元とした設定例
「設定されていないIPフレームは遮断(CUT)する」を元にした設定例です。
「LAN内の一部のパソコン(IPアドレス)からの通信を制限する」ための設定例です。
(以下の2つの通信のみを許可します。)
 ・ホームページの閲覧。
 ・SNTPクライアントソフトウェアの時刻情報取得。
  DNS QTYPEの設定例
(透過(PASS)を元とした設定例)
インターネット接続以外のDNS名前解決要求を遮断し、外部のDNSサーバーへのトラフィックを減らすための設定例です。
LAN内にWindows 2000が稼働しているパソコンがある場合の設定例です。

実際に設定する際は、既存のLAN等に合わせて設定して下さい。
 
7-4 ファイアウォールの設定 へ戻る
透過(PASS)を元とした設定例

工場出荷値の制御(IPフィルタ情報)に、「LAN内の一部のパソコン(IPアドレス)からは、インターネットへの接続を禁止する」ためのIPフィルタ情報を1つ追加する例について説明します。

この例では、IPフィルタ情報5 を追加することにより、IPアドレス「192.168.0.128」以降のパソコンからインターネットへ接続することを禁止しています。(NetGenesisが遮断します。)



 ※1: NetGenesisのWAN側DHCPクライアント機能によって、IPアドレスを1つ自動取得した場合の例です。
 ※2: NetGenesisのLANポートIPアドレス「192.168.0.1」(工場出荷値)の例です。
 ※3: WAN側からLAN側に対しては、IPマスカレード(1対複数 IPアドレス変換)によって不正な侵入を防ぐことができます。


 
IPフィルタ情報1~4は工場出荷値(NetBIOS on TCP/IPの遮断/Microsoft-DSの遮断)です。

IPフィルタ情報 5
 Action CUT(遮断)

 IN 

 LANport 

 OUT 

 WANport
 IP/Mask :  Src.  192.168.0.128/25 Dst. -(空欄) AND/OR
 Port No.:  Src.  -(空欄) Dst. -(空欄) AND/OR
 DNS QTYPE: -(空欄)
 Protocol : any Flags -(未設定)

備 考
192.168.0.128以降のIPアドレスからWAN側への通信を遮断します。
(登録場所はどこでもかまいません。)
 ※ PPPoEクライアント機能を使用する場合(フレッツ・ADSL等)、「OUT」を「WANport」から「PPPoEport」へ変更して下さい。
7-4-3 設定例 へ戻る
遮断(CUT)を元とした設定例
 
[設定されていないIPフレームは遮断(CUT)する]へ変更する場合、設定したい内容を明確化し、LAN管理者等と相談の上、慎重に設定して下さい。

工場出荷値の「設定されていないIPフレームは透過(PASS)する」を、「設定されていないIPフレームは遮断(CUT)する」へ変更する例について説明します。

この例ではIPフィルタ情報5~14を追加することにより、以下のような動作を実現しています。
  パソコン(1)~(2) ・ IPアドレス「192.168.0.100~192.168.0.101」 からは制限無しにインターネットへアクセスが可能。
  他のパソコン・パソコン(3)~パソコン(4) からホームページ閲覧が可能。
  他のパソコン・パソコン(3)~パソコン(4) からSNTPクライアントソフトウェアによる時刻情報取得が可能。
→他のインターネットとの通信はNetGenesisが遮断。



 ※1: NetGenesisのWAN側DHCPクライアント機能によって、IPアドレスを1つ自動取得した場合の例です。
 ※2: NetGenesisのLANポートIPアドレス「192.168.0.1」(工場出荷値)の例です。
 ※3: WAN側からLAN側に対しては、IPマスカレード(1対複数 IPアドレス変換)によって不正な侵入を防ぐことができます。

  この例のNetGenesisの設定(ファイアウォール以外)は以下の通りです。
【 WANポート設定 】
   DHCPクライアント・IPアドレス自動取得 [IPアドレス変換有効]
  上記以外のWANポートの各設定は工場出荷値。
【 LANポート設定 】
   SNTPサーバー機能を使用する。
   DHCPサーバー機能を使用する。
(設定は工場出荷値。)
   SYSLOG機能を使用する。
(ホストIPアドレス:192.168.0.100)
  上記以外のLANポートの各設定は工場出荷値。

  この例の各パソコンの設定は以下の通りです。
【 パソコン(1)~(2) ・ インターネットへのアクセス・制限無し 】
   TCP/IP設定は個別に設定。
   IPアドレス 192.168.0.100 または 192.168.0.101
   サブネットマスク 255.255.255.0
   DNSサーバー 192.168.0.1
   ゲートウェイ 192.168.0.1
【 パソコン(3)~(4) ・ インターネットへのアクセス・制限有り 】
   TCP/IP設定は自動取得。
   (NetGenesisのDHCPサーバーから自動取得。)
【 パソコン(1)~(4) ・ SNTPクライアントソフトウェア 】
    SNTPクライアントソフトウェアを使用する場合、SNTPクライアントソフトウェアの「NTPサーバー」欄は以下のいずれかを設定します。
 ・NetGenesisのLANポートIPアドレスか、ニックネーム+「.」を設定する。
 ・インターネット上のNTPサーバーを設定する。


 
IPフィルタ情報1~4は工場出荷値(NetBIOS on TCP/IPの遮断/Microsoft-DSの遮断)です。

IPフィルタ情報 5
 Action PASS(透過)

 IN 

 anyport

 OUT 

 anyport
 IP/Mask :  Src.  -(空欄) Dst. -(空欄) AND/OR
 Port No.:  Src.  53 Dst. 53 AND/OR OR
 DNS QTYPE: -(空欄)
 Protocol : UDP Flags -(未設定)

備 考
LANポート側・NetGenesisから(インターネット上の)DNSサーバーへの接続と、(インターネット上の)DNSサーバーからLANポート側・NetGenesisへの接続の両方を許可します。

IPフィルタ情報 6
 Action PASS(透過)

 IN 

 LANport 

 OUT 

 WANport
 IP/Mask :  Src.  -(空欄) Dst. -(空欄) AND/OR
 Port No.:  Src.  -(空欄) Dst. 80 AND/OR
 DNS QTYPE: -(空欄)
 Protocol : TCP Flags -(未設定)

備 考
LANポート側から(インターネット上の)ホームページへの接続を許可します。
(LAN内からホームページ宛に開始される通信・行き)
 ※ PPPoEクライアント機能を使用する場合(フレッツ・ADSL等)、「OUT」を「WANport」から「PPPoEport」へ変更して下さい。

IPフィルタ情報 7
 Action PASS(透過)

 IN 

 WANport

 OUT 

 LANport
 IP/Mask :  Src.  -(空欄) Dst. -(空欄) AND/OR
 Port No.:  Src.  80 Dst. (空欄) AND/OR
 DNS QTYPE: -(空欄)
 Protocol : TCP Flags -(未設定)

備 考
(インターネット上の)ホームページからLANポート側への接続を許可します。
(LAN内からホームページ宛に開始される通信・戻り)
 ※1: PPPoEクライアント機能を使用する場合(フレッツ・ADSL等)、「IN」を「WANport」から「PPPoEport」へ変更して下さい。
 ※2: インターネット側からLANポート側のTCPポート80番に対して通信が開始された場合は遮断されます。
(IPフィルタ情報6~7により、LANポート側から開始される通信のみを許可しています。)



 
IPフィルタ情報 8
 Action PASS(透過)

 IN 

 LANport 

 OUT 

 WANport
 IP/Mask :  Src.  -(空欄) Dst. -(空欄) AND/OR
 Port No.:  Src.  -(空欄) Dst. 443 AND/OR
 DNS QTYPE: -(空欄)
 Protocol : TCP Flags -(未設定)

備 考
LANポート側から(インターネット上の)SSL対応のホームページへの接続を許可します。
(LAN内からSSL対応のホームページ宛に開始される通信・行き)
 ※1: SSL対応のホームページとの通信を禁止する場合、IPフィルタ情報8~9は不要です。
(対象IPアドレス「192.168.0.100~192.168.0.101」以外)
 ※2: PPPoEクライアント機能を使用する場合(フレッツ・ADSL等)、「OUT」を「WANport」から「PPPoEport」へ変更して下さい。

IPフィルタ情報 9
 Action PASS(透過)

 IN 

 WANport 

 OUT 

 LANport
 IP/Mask :  Src.  -(空欄) Dst. -(空欄) AND/OR
 Port No.:  Src.  443 Dst. (空欄) AND/OR
 DNS QTYPE: -(空欄)
 Protocol : TCP Flags -(未設定)

備 考
(インターネット上の)SSL対応のホームページからLANポート側への接続を許可します。
(LAN内からSSL対応のホームページ宛に開始される通信・戻り)
 ※1: SSL対応のホームページとの通信を禁止する場合、IPフィルタ情報6~7は不要です。
(対象IPアドレス「192.168.0.100~192.168.0.101」以外)
 ※2: PPPoEクライアント機能を使用する場合(フレッツ・ADSL等)、「IN」を「WANport」から「PPPoEport」へ変更して下さい。
 ※3: インターネット側からLANポート側のTCPポート443番に対して通信が開始された場合は遮断されます。
(IPフィルタ情報8~9により、LANポート側から開始される通信のみを許可しています。)

IPフィルタ情報 10
 Action PASS(透過)

 IN 

 anyport 

 OUT 

 anyport
 IP/Mask :  Src.  -(空欄) Dst. -(空欄) AND/OR
 Port No.:  Src.  123 Dst. 123 AND/OR OR
 DNS QTYPE: -(空欄)
 Protocol : UDP Flags -(未設定)

備 考
LANポート側・NetGenesisから(インターネット上の)SNTP/NTPサーバーへの接続と、(インターネット上の)SNTP/NTPサーバーからLANポート側・NetGenesisへの接続の両方を許可します。
 ※ SNTP/NTPサーバーとの通信を行わない場合、このIPフィルタ情報は不要です。

IPフィルタ情報 11
 Action PASS(透過)

 IN 

 LANport 

 OUT 

 OWNapp
 IP/Mask :  Src.  -(空欄) Dst. -(空欄) AND/OR
 Port No.:  Src.  -(空欄) Dst. 67/68 AND/OR
 DNS QTYPE: -(空欄)
 Protocol : UDP Flags -(未設定)

備 考
LANポート側からNetGenesisのDHCPサーバーへの接続を許可します。
(LAN内からNetGenesisのDHCPサーバー宛に開始される通信・行き)
 ※ DHCPサーバー機能を使用しない場合(各パソコンにIPアドレスを指定する場合)、IPフィルタ情報11~12は必要ありません。

IPフィルタ情報 12
 Action PASS(透過)

 IN 

 OWNapp

 OUT 

 LANport
 IP/Mask :  Src.  -(空欄) Dst. -(空欄) AND/OR
 Port No.:  Src.  67/68 Dst. -(空欄) AND/OR
 DNS QTYPE: -(空欄)
 Protocol : UDP Flags -(未設定)

備 考
NetGenesisのDHCPサーバーからLANポート側への接続を許可します。
(LAN内からNetGenesisのDHCPサーバー宛に開始される通信・戻り)
 ※ DHCPサーバー機能を使用しない場合(各パソコンにIPアドレスを指定する場合)、IPフィルタ情報11~12は必要ありません。

IPフィルタ情報 13
 Action PASS(透過)

 IN 

 OWNport 

 OUT 

 LANport
 IP/Mask :  Src.  -(空欄) Dst. -(空欄) AND/OR
 Port No.:  Src.  514 Dst. -(空欄) AND/OR
 DNS QTYPE: -(空欄)
 Protocol : UDP Flags -(未設定)

備 考
NetGenesisのSYSLOGをLANポート側へ送出します。
 ※ NetGenesisのSYSLOG設定を有効にしても、このIPフィルタ情報を追加し忘れた場合、LAN内のパソコンでNetGenesisのSYSLOGを参照することができません。

IPフィルタ情報 14
 Action PASS(透過)

 IN 

 anyport 

 OUT 

 anyport
 IP/Mask :  Src.  192.168.0.100/31 Dst. 192.168.0.100/31 AND/OR OR
 Port No.:  Src.  -(空欄) Dst. -(空欄) AND/OR
 DNS QTYPE: -(空欄)
 Protocol : any Flags -(未設定)

備 考
IPアドレス「192.168.0.100~192.168.0.101」のパソコンから制限無しにインターネットへアクセスすることを許可します。TCP/UDP/ICMPプロトコルを使用した通信が可能になります。
IPアドレス「192.168.0.100~192.168.0.101」以外のパソコンからは、IPフィルタ情報5~13で透過設定したもの以外、「設定されていないIPフレームは遮断(CUT)する」を元に全て遮断されます。
 ※ WAN側からLAN側に対しては、IPアドレス変換によって不正な侵入を防ぐことができます。
7-4-3 設定例 へ戻る
DNS QTYPEの設定例

インターネット接続以外の目的のDNS名前解決要求を遮断し、外部のDNSサーバーへのトラフィックを減らすための設定例について説明します。

(DNS QTYPEの設定例です。)

Windows 2000において以下の設定または操作を行うと、外部のDNSサーバーへインターネット接続以外の目的のDNS名前解決要求が発行されます。
  Windows 2000 Serverで、TCP/IP設定のDNS設定の[この接続のアドレスをDNSに登録する]にチェックが入っている。
(DNS QTYPE 6 が発行される。)
  フォルダの共有設定の「アクセス許可」の設定で、ユーザーやグループを追加する。
(DNS QTYPE 33 が発行される。)

IPフィルタ情報5~6を追加(DNS QTYPE6・33を遮断)することにより、外部のDNSサーバーに対するトラフィックを減らすことができます。



 ※1: NetGenesisのWAN側DHCPクライアント機能によって、IPアドレスを1つ自動取得した場合の例です。
 ※2: NetGenesisのLANポートIPアドレス「192.168.0.1」(工場出荷値)の例です。
 ※3: WAN側からLAN側に対しては、IPマスカレード(1対複数 IPアドレス変換)によって不正な侵入を防ぐことができます。


 
IPフィルタ情報1~4は工場出荷値(NetBIOS on TCP/IPの遮断/Microsoft-DSの遮断)です。

IPフィルタ情報 5
 Action CUT(遮断)

 IN 

 anyport 

 OUT 

 WANport
 IP/Mask :  Src.  -(空欄) Dst. -(空欄) AND/OR
 Port No.:  Src.  53 Dst. 53 AND/OR OR
 DNS QTYPE:  6
 Protocol : UDP Flags -(未設定)

備 考
Windows 2000 Serverで、TCP/IP設定のDNS設定の[この接続のアドレスをDNSに登録する]にチェックが入っている場合に定期的に発生する外部DNSサーバーへの問い合わせを遮断します。
 ※1: LAN内にWindows 2000 Serverが稼働しているパソコンが無い場合、このIPフィルタ情報は必要ありません。
 ※2: PPPoEクライアント機能を使用する場合(フレッツ・ADSL等)、「OUT」を「WANport」から「PPPoEport」へ変更して下さい。

IPフィルタ情報 6
 Action CUT(遮断)

 IN 

 anyport 

 OUT 

 WANport
 IP/Mask :  Src.  -(空欄) Dst. -(空欄) AND/OR
 Port No.:  Src.  53 Dst. 53 AND/OR OR
 DNS QTYPE:  33
 Protocol : UDP Flags -(未設定)

備 考
フォルダの共有設定の「アクセス許可」の設定で、ユーザーやグループを追加したときに発生する外部DNSサーバーへの問い合わせを遮断します。
 ※ PPPoEクライアント機能を使用する場合(フレッツ・ADSL等)、「OUT」を「WANport」から「PPPoEport」へ変更して下さい。
7-4-3 設定例 へ戻る