10-3-3 ファイアウォールの設定例


ファイアウォール(IPフィルタ)の設定例について説明します。

必要に応じて参照して下さい。
 透過(PASS)を元とした設定例
 → 「設定されていないIPフレームは透過(PASS)する」(工場出荷値)を元にした設定例です。
「LAN内の一部のパソコン(IPアドレス)からは、インターネットへの接続を禁止する」ようにする例です。
 遮断(CUT)を元とした設定例
 → 「設定されていないIPフレームは遮断(CUT)する」を元にした設定例です。
「LAN内の一部のパソコン(IPアドレス)のみ、インターネットへの接続を許可する」ようにする例です。

実際に設定する際は、既存のLAN等に合わせて設定して下さい。

10-3 ファイアウォール(IPフィルタ)の設定 へ戻る

  透過(PASS)を元とした設定例

工場出荷値の制御(IPフィルタ情報)に、「LAN内の一部のパソコン(IPアドレス)からは、インターネットへの接続を禁止する」ためのIPフィルタ情報を1つ追加する例です。

この例では、IPフィルタ情報 1を追加することにより、IPアドレス:192.168.0.128以降のパソコンからインターネットへ接続することを禁止しています。(NetGenesisが遮断します。)

IPフィルタ情報 1
 Action CUT(遮断)

 IN 

 LANport 

 OUT 

 SIO:port
 IP/Mask :  Src.  192.168.0.128/25 Dst. −(空欄) AND/OR
 Port No.:  Src.  −(空欄) Dst. −(空欄) AND/OR
DNS QTYPE −(空欄)  
 Protocol : any Flags −(未設定)

備 考

 必ず先頭に追加して下さい。

10-3-3 ファイアウォールの設定例 へ戻る


  遮断(CUT)を元とした設定例

[設定されていないIPフレームは遮断(CUT)する]へ変更する場合、設定したい内容を明確化し、LAN管理者等と相談の上、慎重に設定して下さい。
なお、この場合は工場出荷値の制御(ICMPによる回線の自動接続の禁止等)を変更する必要がありますので、注意して下さい。

以下の例は、NetGenesisのProxyDNS機能を使用することを前提としています。

工場出荷値の「設定されていないIPフレームは透過(PASS)する」を、「設定されていないIPフレームは遮断(CUT)する」へ変更し、LAN内の一部のパソコン(IPアドレス)のみ、インターネットへの接続を許可する例です。 

この例では、IPアドレス:192.168.0.100〜192.168.0.101のパソコンのみ、インターネットへ接続することを許可します。 

 

IPアドレス:192.168.0.100〜192.168.0.101以外のパソコンからは、インターネットへ接続することができません。(NetGenesisが遮断します。)

   IPフィルタ情報 1〜6は、工場出荷値の制御と同等の制御を行うための設定です。
(必ず順番通りに設定して下さい。)
   IPフィルタ情報 7〜13は、NetGenesisの各機能(ProxyDNS、SNTPサーバー機能等)を有効にするための設定です。(順不同でかまいません。)
   IPフィルタ情報 14は、IPアドレス:192.168.0.100〜192.168.0.101のパソコンから、NetGenesisのアプリケーション(ProxyDNSやSNTPサーバー/クライアント等)とインターネットへの接続を許可するための設定です。




IPフィルタ情報 1
 Action NC:CUT(未接続時遮断)

 IN 

 anyport 

 OUT 

 anyport
 IP/Mask :  Src.  −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src.  −(空欄) Dst. −(空欄) AND/OR
DNS QTYPE −(空欄)  
 Protocol : ICMP Flags −(未設定)

備 考

 ICMPプロトコルによる自動接続を禁止します。

IPフィルタ情報 2
 Action NC:CUT(未接続時遮断)

 IN 

 anyport 

 OUT 

 anyport
 IP/Mask :  Src.  −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src.  137/139 Dst. 137/139 AND/OR OR
DNS QTYPE −(空欄)  
 Protocol : any Flags −(未設定)

備 考

 NetBIOSによる自動接続を禁止します。

IPフィルタ情報 3
 Action NC:CUT(未接続時遮断)

 IN 

 anyport 

 OUT 

 anyport
 IP/Mask :  Src.  −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src.  −(空欄) Dst. −(空欄) AND/OR
DNS QTYPE −(空欄)  
 Protocol : TCP Flags -SYN

備 考

 TCPセッション接続以外による自動接続を禁止します。

IPフィルタ情報 4
 Action CUT(遮断)

 IN 

 anyport 

 OUT 

 OWNapp
 IP/Mask :  Src.  192.168.0.100/31 Dst. 192.168.0.100/31 AND/OR OR
 Port No.:  Src.  137/139 Dst. 137/139 AND/OR OR
DNS QTYPE −(空欄)  
 Protocol : UDP Flags −(未設定)

備 考

 IPアドレス:192.168.0.100〜192.168.0.101のパソコンから、NetGenesis宛のNetBIOS接続を禁止します。

IPフィルタ情報 5
 Action CUT(遮断)

 IN 

 anyport 

 OUT 

 OWNapp※1
 IP/Mask :  Src.  192.168.0.100/31 Dst. 192.168.0.100/31 AND/OR OR
 Port No.:  Src.  53 Dst. 53 AND/OR OR
DNS QTYPE 6  
 Protocol : UDP Flags −(未設定)

備 考
IPアドレス:192.168.0.100〜192.168.0.101のパソコン※2から、インターネット接続以外の目的のDNS名前解決要求を禁止します。
(その1)
 ※1: NetGenesisのProxyDNS機能を使用しない場合、必ず「anyport」へ変更して下さい。
 ※2: IPアドレス:192.168.0.100〜192.168.0.101のパソコンが、Windows 2000の場合は必須です。

IPフィルタ情報 6
 Action CUT(遮断)

 IN 

 anyport 

 OUT 

 OWNapp※1
 IP/Mask :  Src.  192.168.0.100/31 Dst. 192.168.0.100/31 AND/OR OR
 Port No.:  Src.  53 Dst. 53 AND/OR OR
DNS QTYPE 33  
 Protocol : UDP Flags −(未設定)

備 考
IPアドレス:192.168.0.100〜192.168.0.101のパソコン※2から、インターネット接続以外の目的のDNS名前解決要求を禁止します。
(その2)
 ※1: NetGenesisのProxyDNS機能を使用しない場合、必ず「anyport」へ変更して下さい。
 ※2: IPアドレス:192.168.0.100〜192.168.0.101のパソコンが、Windows 2000の場合は必須です。




IPフィルタ情報 7
 Action PASS(透過)

 IN 

 OWNapp 

 OUT 

 SIO:port
 IP/Mask :  Src.  −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src.  −(空欄) Dst. 53 AND/OR
DNS QTYPE −(空欄)  
 Protocol : UDP Flags −(未設定)

備 考
NetGenesisから、(インターネット上の)DNSサーバーへの接続を許可します。
NetGenesisのProxyDNS機能を有効にする設定です。
(その1)

IPフィルタ情報 8
 Action PASS(透過)

 IN 

 SIO:port 

 OUT 

 OWNapp
 IP/Mask :  Src.  −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src.  53 Dst. −(空欄) AND/OR
DNS QTYPE −(空欄)  
 Protocol : UDP Flags −(未設定)

備 考
(インターネット上の)DNSサーバーから、NetGenesisへの接続を許可します。
NetGenesisのProxyDNS機能を有効にする設定です。
(その2)

IPフィルタ情報 9
 Action PASS(透過)

 IN 

 OWNapp 

 OUT 

 SIO:port
 IP/Mask :  Src.  −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src.  −(空欄) Dst. 110 AND/OR
DNS QTYPE −(空欄)  
 Protocol : TCP Flags −(未設定)

備 考
NetGenesisから、(インターネット上の)POP3サーバーへの接続を許可します。
NetGenesisの電子メール共有機能(NetGenesis4 Stdのみ)を有効にする設定です。
(その1)
 ※ 電子メール共有機能を使用しない場合、このIPフィルタ情報は必要ありません。

IPフィルタ情報 10
 Action PASS(透過)

 IN 

 SIO:port 

 OUT 

 OWNapp
 IP/Mask :  Src.  −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src.  110 Dst. −(空欄) AND/OR
DNS QTYPE −(空欄)  
 Protocol : TCP Flags −(未設定)

備 考
(インターネット上の)POP3サーバーから、NetGenesisへの接続を許可します。
NetGenesisの電子メール共有機能(NetGenesis4 Stdのみ)を有効にする設定です。
(その2)
 ※ 電子メール共有機能を使用しない場合、このIPフィルタ情報は必要ありません。

IPフィルタ情報 11
 Action PASS(透過)

 IN 

 OWNapp 

 OUT 

 SIO:port
 IP/Mask :  Src.  −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src.  −(空欄) Dst. 123 AND/OR
DNS QTYPE −(空欄)  
 Protocol : UDP Flags −(未設定)

備 考
NetGenesisから、(インターネット上の)SNTP/NTPサーバーへの接続を許可します。
NetGenesisのSNTPサーバー/クライアント機能を有効にする設定です。
(その1)
 ※ SNTPサーバー/クライアント機能を使用しない場合、このIPフィルタ情報は必要ありません。

IPフィルタ情報 12
 Action PASS(透過)

 IN 

 SIO:port 

 OUT 

 OWNapp
 IP/Mask :  Src.  −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src.  123 Dst. −(空欄) AND/OR
DNS QTYPE −(空欄)  
 Protocol : UDP Flags −(未設定)

備 考
(インターネット上の)SNTP/NTPサーバーから、NetGenesisへの接続を許可します。
NetGenesisのSNTPサーバー/クライアント機能を有効にする設定です。
(その2)
 ※ SNTPサーバー/クライアント機能を使用しない場合、このIPフィルタ情報は必要ありません。

IPフィルタ情報 13
 Action PASS(透過)

 IN 

 anyport 

 OUT 

 anyport
 IP/Mask :  Src.  −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src.  67/68 Dst. 67/68 AND/OR OR
DNS QTYPE −(空欄)  
 Protocol : UDP Flags −(未設定)

備 考
NetGenesisのDHCPサーバーへの接続を許可します。
 ※ DHCPサーバー機能を使用しない場合、このIPフィルタ情報は必要ありません。

IPフィルタ情報 14
 Action PASS(透過)

 IN 

 anyport 

 OUT 

 anyport
 IP/Mask :  Src.  192.168.0.100/31 Dst. 192.168.0.100/31 AND/OR OR
 Port No.:  Src.  −(空欄) Dst. −(空欄) AND/OR
DNS QTYPE −(空欄)  
 Protocol : any Flags −(未設定)

備 考

 IPアドレス:192.168.0.100〜192.168.0.101のパソコンから、NetGenesisのアプリケーション(ProxyDNS機能やSNTPサーバー/クライアント機能等)とインターネットへの接続を許可します。

10-3-3 ファイアウォールの設定例 へ戻る