7-4 ファイアウォールの設定

NetGenesisのファイアウォール(IPフィルタ)の設定について説明します。
 
ファイアウォール(IPフィルタ)の設定を行うには、TCP/IPプロトコルの知識が必要です。
誤った設定をしますと、NetGenesisが正常に動作しなくなる原因となりますので、注意して下さい。

以下の内容を参照して下さい。
 7-4-1 仕様と工場出荷値
 7-4-2 設定手順
 7-4-3 設定例
第7章 LANポートの設定・高度な設定 へ戻る
7-4-1 仕様と工場出荷値

NetGenesisのファイアウォール(IPフィルタ)の仕様と工場出荷値について説明します。

  NetGenesisのファイアウォール(IPフィルタ)仕様
NetGenesisのファイアウォール(IPフィルタ)仕様は以下の通りです。
  レイヤー3フィルタリング制御
IPフレーム、及びICMPフレームをフィルタリング制御の対象とします。
その他のレイヤー3プロトコル(IPX等)は全て遮断します。
  レイヤー4フィルタリング制御
TCP、UDP、GREをフィルタリング制御の対象とします。
その他のレイヤー4プロトコル(EGP、OSPF等)は全て透過します。
  レイヤー5フィルタリング制御
・TCP制御 ポート番号とフラグの監視をします。
・UDP制御 ポート番号の監視をします。

  NetGenesisの工場出荷値
NetGenesisの工場出荷値では、以下の制御を行います。
  NetBIOS on TCP/IPを遮断(TCPプロトコル及びUDPプロトコル)
  Microsoft-DSを遮断(TCPプロトコル及びUDPプロトコル)
 ※同一LAN内での利用は可能です。

  IPフィルタの動作
登録リストは優先順位の高い順番になっています。
NetGenesisを通るIPフレームは登録リストの登録順に従ってフィルタリングされます。
 動作例)
 ・ 設定されていないIPフレームは透過(PASS)する。
 ・ NetGenesisのLAN側からWAN側へのIPフレームをIPフィルタの対象とする。
(登録したIPフィルタ情報に合致した場合は遮断・CUTする。)
  WAN側からLAN側に対しては、IPマスカレード(1対複数 IPアドレス変換)によってLAN内(プライベートIPアドレス)への不正な侵入を防ぐことができます。
ただし、以下は除きます。
 
 ・ 複数固定IPアドレス変換機能を使用し、かつNAT(1対1 IPアドレス変換)されるプライベートIPアドレス。
 ・ DMZホスト機能を使用し、「DMZ HOST IPアドレス」に設定したプライベートIPアドレス。
 ・ アンナンバード(unnumbered)機能を使用する場合。(IPアドレス変換無効)
 ・ ローカルルータ機能を使用する場合。(IPアドレス変換無効)
よりセキュリティを強化したい場合等、必要に応じてファイアウォール(IPフィルタ)の設定を行って下さい。
  DMZホスト機能・有効時、及びIPマスカレードテーブルを設定しても、ファイアウォール(IPフィルタ)の設定で遮断(WAN側→LAN側)するように設定したプロトコル・ポート番号は、ファイアウォール(IPフィルタ)の設定に基づき遮断されます。
詳しくは 第8章 DMZホスト機能とIPマスカレードテーブルの設定 を参照して下さい。

ファイアウォール(IPフィルタ)の設定を行う場合は、7-4-2 設定手順 へ進んで下さい。
7-4 ファイアウォールの設定 へ戻る
7-4-2 設定手順

IPフィルタ情報の設定について説明します。

「LANポートの設定」画面で、[ファイアウォール]ボタンをクリックして下さい。



「ファイアウォール(IPフィルタ)の設定」画面が開きます。


 
工場出荷値では[設定されていないIPフレームは透過(PASS)する]が選択されています。
通常はそのまま変更せず、既存のIPフィルタ情報に設定を追加することを推奨します。
[設定されていないIPフレームは遮断(CUT)する]へ変更する場合、設定したい内容を明確化し、LAN管理者等と相談の上、慎重に設定して下さい。
[設定されていないIPフレームは遮断(CUT)する]に設定する場合、設定を誤るとNetGenesisが見つからなくなることがあります。
 例) ・パソコンのTCP/IP設定が「自動取得」になっている。
・NetGenesisのDHCPサーバーを使用する。
 → NetGenesisのDHCPサーバーへの接続を許可するためのIPフィルタ情報を登録し忘れると、パソコンがNetGenesisからIPアドレスを取得できなくなるため、NetGenesisが見つからなくなります。
(参考 NetGenesisのDHCPサーバーへの接続を許可するためのIPフィルタ情報)
この場合、以下の2通りの対処法があります。
  対処法 その1) NetGenesis背面のRESETボタンを使用する
     NetGenesis背面のRESETボタンを使用することにより、NetGenesisの全ての設定を工場出荷値に戻すことが可能です。(この場合、NetGenesisの再設定が必要です。)
RESETボタンについては以下を参照して下さい。
 1-3-1 NetGenesis SuperOPT50 (各部の名称と各ケーブルの接続)
 1-3-2 NetGenesis OPT-R (各部の名称と各ケーブルの接続)
 ※ RESETボタンを使用した後、パソコンを再起動して下さい。
  対処法 その2) パソコンのIPアドレスを「自動取得」から「IPアドレスを固定」に変更する
     パソコンのIPアドレスをNetGenesisのLANポートIPアドレスと同一ネットワークのIPアドレスに設定することにより、NetGenesisが見つかるようになります。
それぞれ、使用するオペレーティングシステムに応じて以下を参照して下さい。
 2-1-2 TCP/IPの設定(個別に設定)(Windows 95/98/Me)
 2-2-2 TCP/IPの設定(個別に設定)(Windows NT4.0)
 2-3-2 TCP/IPの設定(個別に設定)(Windows 2000)
 2-4-2 TCP/IPの設定(個別に設定)(Windows XP)
 2-5-2 TCP/IPの設定(個別に設定)(Mac OS 7.6.x〜9.2.2)
 2-6-2 TCP/IPの設定(個別に設定)(Mac OS X)
遮断(CUT)の設定例については、7-4-3 設定例  を参照して下さい。

以下の内容を参照して下さい。
 IPフィルタ情報の新規登録(追加)
 IPフィルタ情報の編集(修正)
 IPフィルタ情報の削除
7-4 ファイアウォールの設定 へ戻る
IPフィルタ情報の新規登録(追加)

以下の手順でIPフィルタ情報の登録を行って下さい。

登録可能なIPフィルタ情報数は、最大64個です。
  1. [Action]の行の設定を行います。



      Action
    フィルタリング動作を指定します。
    [▼]をクリックし、候補の中から選択して下さい。
    PASS(透過) 各設定に従い、指定したIPフレームを透過します。
    CUT(遮断) 各設定に従い、指定したIPフレームを遮断します。

      IN OUT
    INはNetGenesisの入力ポートを、OUTはNetGenesisの出力ポートを設定し、NetGenesisを経由する対象IPフレームを指定します。
    INOUTは両方を必ず設定して下さい。
    [▼]をクリックし、候補の中から選択して下さい。
    anyport NetGenesisのWANポート、LANポート、及びNetGenesisのアプリケーションです。
    WANport NetGenesisのWANポートです。
    LANport NetGenesisのLANポートです。
    PPPoEport NetGenesisのWANポート(PPPoEクライアント機能使用時)です。
    OWNapp NetGenesisのアプリケーション(ProxyDNS、SNTPサーバー・クライアント等)です。
     ※ INとOUTの両方を[LANport]に設定した場合、出力側(OUT)の[LANport]は同一ネットワーク以外が対象になります。

    【 参考例 】
    設定例 対象となるIPフレーム
    例1 [IN]=[WANport] WANポートからLANポートへのIPフレームを対象とする。
    [OUT]=[LANport]
    例2 [IN]=[LANport] LANポートからNetGenesisのアプリケーションへのIPフレームを対象とする。
    [OUT]=[OWNapp]
    例3 [IN]=[OWNapp] NetGenesisのアプリケーションからWANポートへのIPフレームを対象とする。
    [OUT]=[WANport]


  2. [IP/Mask]の行の設定を行います。

     ※ 本設定は必須ではありません。必要に応じて設定を行って下さい。



      IP/MaskのSrc.
    発信元(Source)のIPアドレスやネットワークアドレスを指定します。
    入力欄に「IPアドレス/サブネットマスクのビット数」を入力して下さい。
    サブネットマスクのビット数を入力しない場合は、ユニキャストIPアドレスとなります。
      IP/MaskのDst.
    相手先(Destination)のIPアドレスやネットワークアドレスを指定します。
    IP/MaskのSrc.と同じ要領で入力して下さい。
    【 IP/MaskのSrc.とDst.の設定について 】
     Case1)[Src.]と[Dst.]の両方を設定した場合
      → [Src.]で指定したアドレスから発信され、[Dst.]で指定した相手先に送られるIPフレームを対象とします。
     Case2)[Src.]のみを設定した場合
      → [Src.]で指定したアドレスから発信された、全てのIPフレームを対象とします。
     Case3)[Dst.]のみを設定した場合
      → [Dst.]で指定した相手先に送られる、全てのIPフレームを対象とします。
     Case4)[Src.]と[Dst.]の両方とも設定しない場合
      → 発信元、相手先のアドレスによる特定はなく、全てのIPフレームを対象とします。

      IP/MaskANDOR
    Src.Dst.の両方を設定した場合に選択して下さい。
    AND [Src.]と[Dst.]の両方の条件が合致した場合のみを対象とします。
    OR [Src.]と[Dst.]のどちらか片方の条件が合致した場合を対象とします。

    【 参考例 】
    対象とするアドレス   IP/Maskの設定  
    例1  以下のネットワークアドレスを対象とする  
      ・IPアドレス:192.168.0.1
      ・サブネットマスク:255.255.255.0    		 192.168.0.1/24
    例2  以下のネットワークアドレスを対象とする  
      ・IPアドレス:192.168.0.1
      ・サブネットマスク:255.255.255.128    		 192.168.0.1/25
    例3  IPアドレス:192.168.0.88 を対象とする 192.168.0.88


  3. [Port No]の行の設定を行います。

     ※ 本設定は必須ではありません。必要に応じて設定を行って下さい。



      Port No.のSrc.
    発信元(Source)からのプロトコルやサービスのポート番号を指定します。
    入力欄にポート番号を入力して下さい。
      Port No.のDst.
    相手先(Destination)へのプロトコルやサービスのポート番号を指定します。
    入力欄にポート番号を入力して下さい。
     ※1 ウェルノウンポートについてはプロトコル名またはサービス名での入力も可能です。
        NetGenesisが対応しているウェルノウンポートについては「ウェルノウンポートキーワード一覧」のリンクをクリックし、「ウェルノウンポート キーワード一覧」画面を参照して下さい。
        (NetGenesisの設定画面と別のウィンドウが開きます。「ウェルノウンポートキーワード一覧」画面はコピーが可能です。)
     ※2 [Src.]及び[Dst.]入力欄は、ポート番号とポート番号の間に「/」を入れることで、範囲を指定することができます。
    例 : 「201/208」 = 201(AT-RMTP)から 208(AT-8)まで。

    【 Port No.のSrc.とDst.の設定について 】
     Case1)[Src.]と[Dst.]の両方を設定した場合
      → [Src.]で指定したポート番号から発信され、[Dst.]で指定したポート番号へ送られるIPフレームを対象とします。
     Case2)[Src.]のみを設定した場合
      → [Src.]で指定したポート番号から発信された、全てのIPフレームを対象とします。
     Case3)[Dst.]のみを設定した場合
      → [Dst.]で指定したポート番号に送られる、全てのIPフレームを対象とします。
     Case4)[Src.]と[Dst.]の両方とも設定しない場合
      → 発信元、相手先のポート番号による特定はなく、全てのIPフレームを対象とします。

      Port NoANDOR
    Src.Dst.の両方を設定した場合に選択して下さい。
    AND [Src.]と[Dst.]の両方の条件が合致した場合のみを対象とします。
    OR [Src.]と[Dst.]のどちらか片方の条件が合致した場合を対象とします。

      DNS QTYPE
    [Port No.]で「domain」もしくは「53」を指定し、[Protocol]で「UDP」を指定した場合のみ、DNSのQTYPEを指定することが可能です
     ※ QTYPEについてはタイプ名、または番号での入力も可能です。
      QTYPEのタイプ名及び番号については「DNS QTYPE キーワード一覧」のリンクをクリックし、「DNS QTYPE キーワード一覧」画面を参照して下さい。
      (NetGenesisの設定画面と別のウィンドウが開きます。「DNS QTYPE キーワード一覧」画面はコピーが可能です。)


  4. [Protocol]の行の設定を行います。



      Protocol
    対象とするプロトコルを設定します。
    [▼]をクリックし、候補の中から選択して下さい。
    any ICMP、TCP、UDPプロトコルを対象とします。
     ※ ICMPプロトコルは「Port No」の設定に関わりなく、常に処理の対象となりますので注意して下さい。(「IP Mask」の設定は反映されます。)
    ICMP ICMPプロトコルを対象とします。
    TCP TCPプロトコルを対象とします。
    UDP UDPプロトコルを対象とします。
    GRE GREプロトコルを対象とします。

      Flags
    TCPプロトコルを対象とする場合は、フラグの指定も可能です。
    指定可能なフラグは以下の6種類です。
    URG アージェント(緊急データ)フラグです。
    ACK アック(応答)フラグです。
    PSH プッシュ(押出し)フラグです。
    RST リセット(強制終了)フラグです。
    SYN シンク(接続)フラグです。
    FIN ファイナル(終了)フラグです。

    各フラグ名のボタンをクリックすると、以下の順番に表示が変わります。
    表示に対しての設定動作は以下の通りです。
    (XXX) そのフラグを対象としません。(無視)
    +XXX そのフラグがON(ビットが1)の場合を対象とします。
    -XXX そのフラグがOFF(ビットが0)の場合を対象とします。
     ※ XXXには各フラグ名が入ります。
    +XXXと-XXXを組み合わせた場合、全ての条件と合致した場合(AND)のみを対象とします。


  5. 全ての設定が完了しましたら、[追加]ボタンをクリックします。
    (登録リストの順番が、そのまま優先順位になります。)

    その際、2通りの追加方法があります。

      既存の登録情報を選択せずに[追加]ボタンをクリックした場合
     → 既存の登録情報の一番最後に登録されます。



      既存の登録情報を選択して[追加]ボタンをクリックした場合
     → 選択した場所に登録されます。
    既存の登録情報は1つ下にずれます。


以上でIPフィルタ情報の登録は完了です。
7-4-2 設定手順 へ戻る
IPフィルタ情報の編集(修正) 

登録済みのIPフィルタ情報を編集(修正)する方法は、以下の2通りがあります。
 [切り取り編集]ボタンをクリックする方法
 [コピー編集]ボタンをクリックする方法

  [切り取り編集]ボタンをクリックする方法

[切り取り編集]ボタンをクリックして、IPフィルタ情報を編集(修正)する方法について説明します。

編集するIPフィルタ情報を選択して[切り取り編集]ボタンをクリックすると、選択したIPフィルタ情報がリストから削除され、設定欄に表示されます。

編集(修正)が終わりましたら、[追加]ボタンをクリックして下さい。

[追加]ボタンについては こちら を参照して下さい。

  [コピー編集]ボタンをクリックする方法

[コピー編集]ボタンをクリックして、IPフィルタ情報を編集(修正)する方法について説明します。

編集するIPフィルタ情報を選択して[コピー編集]ボタンをクリックすると、選択したIPフィルタ情報がリストに残ったまま、設定欄に表示されます。




修正が終わりましたら、[追加]ボタンをクリックして下さい。

[追加]ボタンについては こちら を参照して下さい。
7-4-2 設定手順 へ戻る
IPフィルタ情報の削除

登録済みのIPフィルタ情報を削除したい場合、削除するIPフィルタ情報を選択して[削除]ボタンをクリックして下さい。

7-4-2 設定手順 へ戻る