１２－４．ファイアウォール設定

12-4.ファイアウォール設定

ファイアウォール（IPフィルタ）の設定について説明します。

はじめに

ファイアウォール（IPフィルタ）の設定を行うには、TCP/IPプロトコルの知識が必要です。

誤った設定を行うと、NetGenesisが正常に動作しなくなる原因となりますので、注意して下さい。

弊社インターネットホームページの「ダウンロード＆サポート情報」にて、ファイアウォール設定例を公開しています。

http://www.mrl.co.jp/support/index.html

＊	上記のURLへアクセスするためには、インターネット接続の設定が完了している必要があります。

登録可能なIPフィルタ情報数は最大64個です。

工場出荷値の情報（4個）を残したままIPフィルタ情報を追加登録する場合、60個まで登録可能です。

　
以下の内容を参照して下さい。

　仕様と工場出荷値

　設定手順

12.LANポートの設定へ戻る

仕様と工場出荷値

ファイアウォール（IPフィルタ）の仕様と工場出荷値について説明します。

NetGenesisのファイアウォール（IPフィルタ）仕様

NetGenesisのファイアウォール（IPフィルタ）仕様は以下の通りです。

レイヤー3フィルタリング制御

IPフレーム、及びICMPフレームをフィルタリング制御の対象とします。
その他のレイヤー3プロトコル（IPX等）は全て遮断します。

レイヤー4フィルタリング制御

TCP、UDP、GRE、ESP、AH、EtherIPをフィルタリング制御の対象とします。
（その他のレイヤー4プロトコルについては、プロトコル番号を指定することにより、フィルタリング制御が可能。）

また、TCP/UDPについては以下のフィルタリング制御を行うことが可能です。

・TCP制御	：	ポート番号とフラグの監視をします。
・UDP制御	：	ポート番号の監視をします。

NetGenesisの工場出荷値

NetGenesisの工場出荷値では、以下の制御を行います。

	NetBIOS on TCP/IPを遮断（TCPプロトコル及びUDPプロトコル）
	Microsoft-DSを遮断（TCPプロトコル及びUDPプロトコル）
	※同一LAN内での利用は可能です。

IPフィルタの動作

登録リストは優先順位の高い順番になっています。

NetGenesisを通るIPフレームは登録リストの登録順に従ってフィルタリングされます。

動作例）

・	設定されていないIPフレームは透過（PASS）する。
・	NetGenesisのLAN側からWAN側へのIPフレームをIPフィルタの対象とする。
	（登録したIPフィルタ情報に合致した場合は遮断・CUTする。）

WAN側からLAN側に対しては、IPマスカレード（1対複数 IPアドレス変換）機能によってLAN内（プライベートIPアドレス）への不正な侵入を防ぐことが可能です。

ただし、以下に該当する場合は、IPマスカレードによる保護の対象外となります。

必要に応じてファイアウォール（IPフィルタ）の設定を行って下さい。

・	複数固定IPアドレス変換機能を使用し、かつNAT（1対1 IPアドレス変換）されるプライベートIPアドレス。
・	DMZホスト機能を使用し、「転送先（DMZ HOST）IPアドレス」に設定したプライベートIPアドレス。
・	アンナンバード（unnumbered）機能を使用する場合。（IPアドレス変換無効）
・	ローカルルータ機能を使用する場合。（IPアドレス変換無効）

	DMZホスト機能・有効時、及びIPマスカレードテーブルを設定しても、ファイアウォール（IPフィルタ）の設定で遮断（WAN側→LAN側）するように設定したプロトコル・ポート番号は、ファイアウォール（IPフィルタ）の設定に基づき遮断されます。
	詳しくは 10.サーバー公開やネットワークゲームを行う（IPマスカレードテーブル設定とDMZホスト機能の設定）を参照して下さい。

12-4.ファイアウォール設定へ戻る

設定手順

ファイアウォール設定の手順（IPフィルタ情報の登録）について説明します。

設定画面のメニューの「LANポートの設定」の中の、［ファイアウォール設定］をクリックして下さい。

IPフレームの透過と遮断について

工場出荷値では［設定されていないIPフレームは透過（PASS）する］が選択されています。

通常はそのまま変更せず、既存のIPフィルタ情報に設定を追加することを推奨します。

［設定されていないIPフレームは遮断（CUT）する］へ変更する場合、設定したい内容を明確化し、LAN管理者等と相談の上、慎重に設定して下さい。

［設定されていないIPフレームは遮断（CUT）する］に設定する場合、設定を誤るとNetGenesisの設定画面へログオンできなくなることがあります。

　例）

・パソコンのTCP/IP設定が「自動取得」になっている。

・NetGenesisのDHCPサーバーを使用する。

→	NetGenesisのDHCPサーバーへの接続を許可するためのIPフィルタ情報を登録し忘れると、パソコンがNetGenesisからIPアドレスを取得できなくなるため、NetGenesisが見つからなくなります。
	（参考 NetGenesisのDHCPサーバーへの接続を許可するためのIPフィルタ情報）

この場合、以下の2通りの対処法があります。

対処法その1）

NetGenesis背面のRESETボタンを使用する

NetGenesis背面のRESETボタンを使用することにより、NetGenesisの全ての設定を工場出荷値に戻すことが可能です。（この場合、NetGenesisの再設定が必要です。）

RESETボタンについては以下を参照して下さい。

　Q&A集全ての設定を工場出荷値に戻したい

※	RESETボタンを使用した後、パソコンを再起動して下さい。

対処法その2）

パソコンのIPアドレスを「自動取得」から「IPアドレスを固定」に変更する

パソコンのIPアドレスをNetGenesisのLANポートIPアドレスと同一ネットワークのIPアドレスに設定することにより、NetGenesisが見つかるようになります。

それぞれ、使用するオペレーティングシステムに応じて以下を参照して下さい。

2-1.Windows XP のTCP/IP設定（IPアドレスを指定する）

2-2.Windows 2000 のTCP/IP設定（IPアドレスを指定する）

2-3.Windows 98/Me のTCP/IP設定（IPアドレスを指定する）

2-4.Mac OS X のTCP/IP設定（IPアドレスを指定する）

2-5.Mac OS 9.x のTCP/IP設定（IPアドレスを指定する）

本設定画面は設定項目が多いため、WWWブラウザを全画面表示にすると、作業を行いやすくなります。

登録リスト最後のエントリの下の［編集］ボタンをクリックして下さい。

　
「ファイアウォールリスト追加・編集」画面が表示されます。

［Action］の行の設定を行います。

Action

フィルタリング動作を指定します。
［▼］をクリックし、候補の中から選択して下さい。

PASS（透過）	各設定に従い、指定したIPフレームを透過します。
CUT（遮断）	各設定に従い、指定したIPフレームを遮断します。
NC_CUT（未接続時・遮断）	PPPoEクライアント機能使用時、PPPoE未接続時のみ遮断します。PPPoE接続時は透過します。

IN と OUT

INはNetGenesisの入力ポートを、OUTはNetGenesisの出力ポートを設定し、NetGenesisを経由する対象IPフレームを指定します。

INとOUTは両方を必ず設定して下さい。
［▼］をクリックし、候補の中から選択して下さい。

anyport

NetGenesisのWANポート、PPPoEポート1（セッション1）、PPPoEポート2（セッション2）、LANポート、及びNetGenesisのアプリケーションです。

WANport

NetGenesisのWANポートです。（※1）

LANport

NetGenesisのLANポートです。（※2）

PPPoE セッション1

NetGenesisのPPPoEポート1（セッション1）です。

PPPoE セッション2

NetGenesisのPPPoEポート2（セッション2）です。

OWNapp

NetGenesisのアプリケーション（ProxyDNS、SNTPサーバー・クライアント等）です。（※3）

　※1：

WANポートで以下の動作モードを選択した場合に該当します。

・	DHCPクライアント IPアドレス自動取得［IPアドレス変換有効］
・	IPアドレス固定（1～16個）［IPアドレス変換有効］
・	IPアドレス固定アンナンバード（unnumbered）［IPアドレス変換無効］
・	ローカルルータ［IPアドレス変換無効］

　※2：

INとOUTの両方を［LANport］に設定した場合、出力側（OUT）の［LANport］は同一ネットワーク以外が対象になります。
同一ネットワーク内（HUB間）のフィルタリングはできません。

　※3：

NetGenesisのLANポートIPアドレスを対象とする場合、対象ポートを「OWNapp」にします。

【参考例】

設定例		対象となるIPフレーム
例1	［IN］=［WANport］	WANポートからLANポートへのIPフレームを対象とする。
	［OUT］=［LANport］
例2	［IN］＝［LANport］	LANポートからNetGenesisのアプリケーションへのIPフレームを対象とする。
	［OUT］＝［OWNapp］
例3	［IN］＝［OWNapp］	NetGenesisのアプリケーションからWANポートへのIPフレームを対象とする。
	［OUT］＝［WANport］
例4	［IN］＝［PPPoE セッション1］	PPPoEポート1（セッション1）からLANポートへのIPフレームを対象とする。
	［OUT］＝［LANport］

［IP/Mask］の行の設定を行います。

※	本設定は必須ではありません。必要に応じて設定を行って下さい。

IP/Mask Src.

発信元（Source）のIPアドレスやネットワークアドレスを指定します。

入力欄に「IPアドレス/サブネットマスクのビット数」を入力して下さい。
サブネットマスクのビット数を入力しない場合は、ユニキャストIPアドレス（/32）となります。
　

IP/Mask Dst.

相手先（Destination）のIPアドレスやネットワークアドレスを指定します。

IP/MaskのSrc.と同じ要領で入力して下さい。
　

＊	サブネットマスクのビット数については、付録・IPアドレス範囲（IPアドレス/サブネット）早見表を参考にして下さい。
	（WWWブラウザの別ウィンドウが開きます。）

【 IP/MaskのSrc.とDst.の設定について】

Case1）［Src.］と［Dst.］の両方を設定した場合
→	［Src.］で指定したアドレスから発信され、［Dst.］で指定した相手先に送られるIPフレームを対象とします。

Case2）［Src.］のみを設定した場合
→	［Src.］で指定したアドレスから発信された、全てのIPフレームを対象とします。

Case3）［Dst.］のみを設定した場合
→	［Dst.］で指定した相手先に送られる、全てのIPフレームを対象とします。

Case4）［Src.］と［Dst.］の両方とも設定しない場合
→	発信元、相手先のアドレスによる特定はなく、全てのIPフレームを対象とします。

IP/MaskのANDとOR

Src.とDst.の両方を設定した場合に選択して下さい。

AND	［Src.］と［Dst.］の両方の条件が合致した場合のみを対象とします。
OR	［Src.］と［Dst.］のどちらか片方の条件が合致した場合を対象とします。

【参考例】

対象とするアドレス		IP/Maskの設定
例1	以下のネットワークを対象とする　　・ネットワークアドレス：192.168.0.0 　　・サブネット：/24（255.255.255.0）	192.168.0.0/24
例2	以下のネットワークを対象とする　　・ネットワークアドレス：192.168.0.128 　　・サブネット：/25（255.255.255.128）	192.168.0.128/25
例3	IPアドレス：192.168.0.88 を対象とする	192.168.0.88
例4	以下のIPアドレス範囲をを対象とする　　・IPアドレス：192.168.0.80～95	192.168.0.80/28

＊	上記以外のサブネット値については、付録・IPアドレス範囲（IPアドレス/サブネット）早見表を参考にして下さい。
	（WWWブラウザの別ウィンドウが開きます。）

［Port No］の行の設定を行います。

※	本設定は必須ではありません。必要に応じて設定を行って下さい。

Port No. Src.

発信元（Source）からのプロトコルやサービスのポート番号を指定します。
入力欄にポート番号を入力して下さい。
　

Port No. Dst.

相手先（Destination）へのプロトコルやサービスのポート番号を指定します。
入力欄にポート番号を入力して下さい。


※	［Src.］及び［Dst.］入力欄は、ポート番号とポート番号の間に「/」を入れることで、範囲を指定することができます。
	例：「20/23」＝ 20（ftp-data）から 23（telnet）まで。

【 Port No.のSrc.とDst.の設定について】

Case1）［Src.］と［Dst.］の両方を設定した場合
→	［Src.］で指定したポート番号から発信され、［Dst.］で指定したポート番号へ送られるIPフレームを対象とします。

Case2）［Src.］のみを設定した場合
→	［Src.］で指定したポート番号から発信された、全てのIPフレームを対象とします。

Case3）［Dst.］のみを設定した場合
→	［Dst.］で指定したポート番号に送られる、全てのIPフレームを対象とします。

Case4）［Src.］と［Dst.］の両方とも設定しない場合
→	発信元、相手先のポート番号による特定はなく、全てのIPフレームを対象とします。

Port NoのANDとOR

Src.とDst.の両方を設定した場合に選択して下さい。

AND	［Src.］と［Dst.］の両方の条件が合致した場合のみを対象とします。
OR	［Src.］と［Dst.］のどちらか片方の条件が合致した場合を対象とします。

DNS QTYPE

[Port No.]で「domain」もしくは「53」を指定し、［Protocol］で「UDP」を指定した場合のみ、DNSのQTYPEを指定することが可能です

ウェルノウンポート一覧とDNS QTYPE一覧について

　・ウェルノウンポートについてはプロトコル名またはサービス名での入力も可能です。

　・DNS QTYPEについてはタイプ名、または番号での入力も可能です。

（NetGenesisの設定画面と別のウィンドウが開きます。「ウェルノウンポート一覧」画面、「DNS QTYPE キーワード一覧」画面ともにコピーが可能です。）

［Protocol］の行の設定を行います。

Protocol

対象とするプロトコルを設定します。
［▼］をクリックし、候補の中から選択して下さい。

any

ICMP、TCP、UDP、GRE、ESP、AH、EtherIPプロトコルを対象とします。


※	ICMPプロトコルは「Port No」の設定に関わりなく、常に処理の対象となりますので注意して下さい。（「IP Mask」の設定は反映されます。）

ICMP

ICMPプロトコルを対象とします。

TCP

TCPプロトコルを対象とします。

UDP

UDPプロトコルを対象とします。

GRE

GREプロトコルを対象とします。

ESP

ESPプロトコルを対象とします。

AHプロトコルを対象とします。

EtherIP

EtherIPプロトコルを対象とします。

ユーザー指定

任意のプロトコル番号を対象とします。
「ユーザー指定プロトコル番号」欄に、対象とするプロトコル番号を入力して下さい。

Flags

TCPプロトコルを対象とする場合は、フラグの指定も可能です。

指定可能なフラグは以下の6種類です。

URG	アージェント（緊急データ）フラグです。
ACK	アック（応答）フラグです。
PSH	プッシュ（押出し）フラグです。
RST	リセット（強制終了）フラグです。
SYN	シンク（接続）フラグです。
FIN	ファイナル（終了）フラグです。

　
各フラグ名のボタンをクリックすると、以下の順番に表示が変わります。
表示に対しての設定動作は以下の通りです。

(XXX)

そのフラグを対象としません。（無視）

+XXX

そのフラグがON（ビットが1）の場合を対象とします。

-XXX

そのフラグがOFF（ビットが0）の場合を対象とします。

※	XXXには各フラグ名が入ります。 +XXXと-XXXを組み合わせた場合、全ての条件と合致した場合（AND）のみを対象とします。

全ての設定が完了しましたら、［追加］ボタンをクリックして下さい。

［追加］ボタンをクリックすると、既存のエントリの最後尾に「編集を行ったIPフィルタ情報」が追加されます。

チェック！

登録リストの順番が、そのまま処理の「優先順位」になります。

「追加したエントリが最後尾にある＝一番最後に処理される」ということになりますので、必要に応じて追加したエントリを移動して下さい。

以上でホスト情報（1エントリ）の登録は完了です。
　

	エントリ右横のボタンについて
	既存のエントリを編集（修正）、移動する際に使用します。

	操作方法については登録リストを有する画面に表示されるボタン（3-3.設定画面内のボタンの意味）を参照して下さい。

設定が完了しましたら、［設定］ボタンをクリックして下さい。

全ての設定が完了した場合は、
左のメニューの	設定の更新	をクリックして下さい。

"設定の更新" と "NetGenesisの再起動" を行って下さい。

詳しくは 3-4.設定の終了（更新・再起動）を参照して下さい。

引き続き設定を行う場合は、左のメニューをクリックし、必要な設定を行って下さい。

12-4.ファイアウォール設定へ戻る