10-3 ファイアウォール(IPフィルタ)の設定


NetGenesisのファイアウォール(IPフィルタ)の設定について説明します。

ファイアウォールの設定を行うにあたって
ファイアウォール(IPフィルタ)の設定を行うには、TCP/IPプロトコルの知識が必要です。
誤った設定をしますと、NetGenesisが正常に動作しなくなる原因となりますので、注意して下さい。

はじめに 10-3-1 仕様と工場出荷値について を参照して下さい。


以下の各項目を参照して下さい。

10-3-1 仕様と工場出荷値について
10-3-2 IPフィルタ情報の設定
10-3-3 ファイアウォールの設定例
 → 以下の2つの設定例について説明します。
必要に応じて参照して下さい。
  透過(PASS)を元とした設定例
「設定されていないIPフレームは透過(PASS)する」(工場出荷値)を元にした設定例です。
「LAN内の一部のパソコン(IPアドレス)からは、インターネットへの接続を禁止する」ようにする例です。
  遮断(CUT)を元とした設定例
「設定されていないIPフレームは遮断(CUT)する」を元にした設定例です。
「LAN内の一部のパソコン(IPアドレス)のみ、インターネットへの接続を許可する」ようにする例です。

第10章 LANポートの設定/高度な設定 へ戻る
10-3-1 仕様と工場出荷値について


NetGenesisのファイアウォール(IPフィルタ)の仕様と、工場出荷値について説明します。

  NetGenesisのファイアウォール(IPフィルタ)仕様
NetGenesisのファイアウォール(IPフィルタ)仕様は以下の通りです。
  レイヤー3フィルタリング制御
対応プロトコルはIPフレーム、及びICMPフレームをフィルタリング制御の対象とします。
その他のレイヤー3プロトコル(IPX等)は全て遮断します。
  レイヤー4フィルタリング制御
対応プロトコルはTCP、及びUDPをフィルタリング制御の対象とします。
その他のレイヤー4プロトコル(EGP、OSPF等)は全て透過します。
  レイヤー5フィルタリング制御
・TCP制御 ポート番号とフラグの監視をします。
・UDP制御 ポート番号の監視をします。
  NetGenesisの工場出荷値
NetGenesisの工場出荷値では、以下の制御を行います。
  ICMPによる回線の自動接続の禁止。
  NetBIOS on TCP/IPによる回線の自動接続の禁止。
(Windowsの起動や終了等による、回線の自動接続の禁止等。)
  TCPの接続(SYN)フラグ以外での回線の自動接続の禁止。
(アプリケーションの終了等による、回線の自動接続の禁止等。)
  NetGenesisアプリケーション(ProxyDNS、SNTPサーバー機能等)宛へのNetBIOS on TCP/IPを遮断。
  Windows 2000が発行する、インターネット接続以外の目的のDNS名前解決要求の遮断。(2エントリ)
※上記5項目は、同一LAN内での利用は可能です。

工場出荷値を変更または削除すると上記の制御が無効になります。
万が一誤った設定をしてしまいますと、意図しないときにダイヤルアップ接続が行われたり(電話料金がかかります)、逆にダイヤルアップ接続ができなかったりと、誤動作する可能性がありますので十分に注意して下さい。
工場出荷値に制御を追加して使用することを推奨します。

  IPフィルタの動作
登録リストは優先順位の高い順番になっています。
NetGenesisを通るIPフレームは登録リストの登録順に従ってフィルタリングされます。
 動作例)
 ・ 設定されていないIPフレームは透過(PASS)する。
 ・ NetGenesisのLAN側からシリアルポート側へのIPフレームをIPフィルタの対象とする。
(登録したIPフィルタ情報に合致した場合は遮断・CUTする。)
 ※1: シリアルポート側からLAN側に対しては、IPアドレス変換によって不正な侵入を防ぐことができます。
(ただし、LAN型ダイヤルアップIP接続または専用線IP接続で、専用線NAT機能未使用時は除く。)
よりセキュリティを強化したい場合等、必要に応じてファイアウォール(IPフィルタ)の設定を行って下さい。
 ※2: IPマスカレードテーブルの設定で特定のプロトコル・ポート番号をLAN内の特定のIPアドレスへ送るように設定しても、ファイアウォール(IPフィルタ)の設定でそのプロトコル・ポート番号を遮断(シリアルポート側→LAN側)するように設定した場合、シリアルポート(インターネット)側からLAN側へのアクセスはできません。
詳しくは 第11章 IPマスカレードテーブルの設定 を参照して下さい。

10-3 ファイアウォール(IPフィルタ)の設定 へ戻る

ファイアウォール(IPフィルタ)の設定を行う場合、10-3-2 IPフィルタ情報の設定 へ進んで下さい。
10-3-2 IPフィルタ情報の設定


IPフィルタ情報の設定について説明します。

  ※ LANポートの設定画面を開く手順が分からない場合は こちら を参照して下さい。(WWWブラウザの別ウィンドウが開きます。)


「LANポートの設定」画面で、[ファイアウォール]ボタンをクリックして下さい。

 


「ファイアウォール(IPフィルタ)の設定」画面が開きます。

 


透過と遮断について
工場出荷値では[設定されていないIPフレームは透過(PASS)する]が選択されています。
通常はそのまま変更せず、既存のIPフィルタ情報に設定を追加することを推奨します。
[設定されていないIPフレームは遮断(CUT)する]へ変更する場合、設定したい内容を明確化し、LAN管理者等と相談の上、慎重に設定して下さい。
[設定されていないIPフレームは遮断(CUT)する]に設定する場合、設定を誤るとNetGenesisが見つからなくなることがあります。
 例) ・パソコンのTCP/IP設定が「自動取得」になっている。
・NetGenesisのDHCPサーバーを使用する。
 → NetGenesisのDHCPサーバーへの接続を許可するためのIPフィルタ情報を登録し忘れると、パソコンがNetGenesisからIPアドレスを取得できなくなるため、NetGenesisが見つからなくなります。
(参考 NetGenesisのDHCPサーバーへの接続を許可するためのIPフィルタ情報)
この場合、パソコンのIPアドレスをNetGenesisのLANポートIPアドレスと同一ネットワークのIPアドレスに設定することにより、NetGenesisが見つかるようになります。
それぞれ、使用するオペレーティングシステムに応じて以下を参照して下さい。
 2-1-2 TCP/IPの設定(個別に設定)(Windows 95/98/Me)
 2-2-2 TCP/IPの設定(個別に設定)(Windows NT4.0)
 2-3-2 TCP/IPの設定(個別に設定)(Windows 2000)
 2-4-2 TCP/IPの設定(個別に設定・MacOS 7.6.1〜9.1)
遮断(CUT)の設定例については、10-3-3 設定例 の 遮断(CUT)を元とした設定例 を参考にして下さい。


以下の各項目を参照して下さい。

  IPフィルタ情報の新規登録(追加)
  IPフィルタ情報の編集(修正)
  IPフィルタ情報の削除

登録可能なIPフィルタ情報数は、最大64個です。

10-3 ファイアウォール(IPフィルタ)の設定 へ戻る

  IPフィルタ情報の新規登録(追加)

以下の手順でIPフィルタ情報の登録を行って下さい。
  1. [Action]の行の設定を行います。



      Action
    フィルタリング動作を指定します。
    [▼]をクリックし、候補の中から選択して下さい。
    PASS(透過) 各設定に従い、指定したIPフレームを透過します。
    CUT(遮断) 各設定に従い、指定したIPフレームを遮断します。
    NC:CUT(未接続時遮断) 回線未接続時のみ遮断します。回線接続時は透過します。
    MON(モニタ) 指定したIPフレームの通過回数をモニタ(カウント)します。
     ※ 現時点では通過回数をモニタすることはできません。
    (設定は可能。)
    今後、対応予定です。

      IN OUT
    INはNetGenesisの入力ポートを、OUTはNetGenesisの出力ポートを設定し、NetGenesisを経由する対象IPフレームを指定します。
    INOUTは両方を必ず設定して下さい。
    [▼]をクリックし、候補の中から選択して下さい。
    anyport NetGenesisのシリアルポート1、シリアルポート2、LANポート、及びNetGenesisのアプリケーションです。
    LANport NetGenesisのLANポートです。
    SIO:port NetGenesisのシリアルポート1、及びシリアルポート2です。
    SIO:P1 NetGenesisのシリアルポート1です。
    SIO:P2 NetGenesisのシリアルポート2です。
    OWNapp NetGenesisのアプリケーション(ProxyDNS機能、SNTPサーバー/クライアント機能、電子メール共有機能等)です。
     ※ INとOUTの両方を[LANport]に設定した場合、出力側(OUT)の[LANport]は同一ネットワーク以外が対象になります。

    【 参考例 】
    設定例 対象となるIPフレーム
    例1 [IN]=[SIO:P1] シリアルポート1からLAN側へのIPフレームを対象とする。
    [OUT]=[LANport]
    例2 [IN]=[LANport] LANポートからNetGenesisのアプリケーションへのIPフレームを対象とする。
    [OUT]=[OWNapp]
    例3 [IN]=[OWNapp] NetGenesisのアプリケーションからシリアルポート1へのIPフレームを対象とする。
    [OUT]=[SIO:P1]


  2. [IP/Mask]の行の設定を行います。

     ※ 本設定は必須ではありません。必要に応じて設定を行って下さい。



      IP/MaskのSrc.
    発信元(Source)のIPアドレスやネットワークアドレスを指定します。
    入力欄に「IPアドレス/サブネットマスクのビット数」を入力して下さい。
    サブネットマスクのビット数を入力しない場合は、ユニキャストIPアドレスとなります。
      IP/MaskのDst.
    相手先(Destination)のIPアドレスやネットワークアドレスを指定します。
    IP/MaskのSrc.と同じ要領で入力して下さい。

    【 IP/MaskのSrc.とDst.の設定について 】
      Case1)[Src.]と[Dst.]の両方を設定した場合
      → [Src.]で指定したアドレスから発信され、[Dst.]で指定した相手先に送られるIPフレームを対象とします。
      Case2)[Src.]のみを設定した場合
      → [Src.]で指定したアドレスから発信された、全てのIPフレームを対象とします。
      Case3)[Dst.]のみを設定した場合
      → [Dst.]で指定した相手先に送られる、全てのIPフレームを対象とします。
      Case4)[Src.]と[Dst.]の両方とも設定しない場合
      → 発信元、相手先のアドレスによる特定はなく、全てのIPフレームを対象とします。

      IP/MaskANDOR
    Src.Dst.の両方を設定した場合に選択して下さい。
    AND [Src.]と[Dst.]の両方の条件が合致した場合のみを対象とします。
    OR [Src.]と[Dst.]のどちらか片方の条件が合致した場合を対象とします。

    【 参考例 】
    対象とするアドレス   IP/Maskの設定  
    例1  以下のネットワークアドレスを対象とする  
      ・IPアドレス:192.168.0.1
      ・サブネットマスク:255.255.255.0    		 192.168.0.1/24
    例2  以下のネットワークアドレスを対象とする  
      ・IPアドレス:192.168.0.1
      ・サブネットマスク:255.255.255.128    		 192.168.0.1/25
    例3  IPアドレス:192.168.0.88 を対象とする 192.168.0.88


  3. [Port No]の行の設定を行います。

     ※ 本設定は必須ではありません。必要に応じて設定を行って下さい。



      Port No.のSrc.
    発信元(Source)からのプロトコルやサービスのポート番号を指定します。
    入力欄にポート番号を入力して下さい。
      Port No.のDst.
    相手先(Destination)へのプロトコルやサービスのポート番号を指定します。
    入力欄にポート番号を入力して下さい。
     ※1: ウェルノウンポートについてはプロトコル名またはサービス名での入力も可能です。
    NetGenesisが対応しているウェルノウンポートについては「ウェルノウンポートキーワード一覧」のリンクをクリックし、「ウェルノウンポート キーワード一覧」画面を参照して下さい。(NetGenesisの設定画面と別のウィンドウが開きます。「ウェルノウンポートキーワード一覧」画面は、コピーが可能です。)
     ※2: [Src.]及び[Dst.]入力欄は、ポート番号とポート番号の間に「/」を入れることで、範囲を指定することができます。
    例 : 「201/208」 = 201(AT-RMTP)から 208(AT-8)まで。

    【 Port No.のSrc.とDst.の設定について 】
      Case1)[Src.]と[Dst.]の両方を設定した場合
      → [Src.]で指定したポート番号から発信され、[Dst.]で指定したポート番号へ送られるIPフレームを対象とします。
      Case2)[Src.]のみを設定した場合
      → [Src.]で指定したポート番号から発信された、全てのIPフレームを対象とします。
      Case3)[Dst.]のみを設定した場合
      → [Dst.]で指定したポート番号に送られる、全てのIPフレームを対象とします。
      Case4)[Src.]と[Dst.]の両方とも設定しない場合
      → 発信元、相手先のポート番号による特定はなく、全てのIPフレームを対象とします。

      Port NoANDOR
    Src.Dst.の両方を設定した場合に選択して下さい。
    AND [Src.]と[Dst.]の両方の条件が合致した場合のみを対象とします。
    OR [Src.]と[Dst.]のどちらか片方の条件が合致した場合を対象とします。

      DNS QTYPE
    [Port No.]「domain」もしくは「53」を指定し、[Protocol]「UDP」を指定した場合のみ、DNSのQTYPEを指定することが可能です。
     ※1: QTYPEについてはタイプ名、または番号での入力も可能です。
    QTYPEのタイプ名及び番号については「DNS QTYPE キーワード一覧」のリンクをクリックし、「DNS QTYPE キーワード一覧」画面を参照して下さい。(NetGenesisの設定画面と別のウィンドウが開きます。「DNS QTYPE キーワード一覧」画面は、コピーが可能です。)
     ※2: [QTYPE.]入力欄は、番号と番号の間に「/」を入れることで、範囲を指定することができます。
    例 : 「28/33」 = 28(AAAA)から 33(SRV)まで。


  4. [Protocol]の行の設定を行います。



      Protocol
    対象とするプロトコルを設定します。
    [▼]をクリックし、候補の中から選択して下さい。
    any ICMP、TCP、UDPプロトコルを対象とします。
    ICMP ICMPプロトコルを対象とします。
    TCP TCPプロトコルを対象とします。
    UDP UDPプロトコルを対象とします。

      Flags
    TCPプロトコルを対象とする場合は、フラグの指定も可能です。
    指定可能なフラグは以下の6種類です。
    URG アージェント(緊急データ)フラグです。
    ACK アック(応答)フラグです。
    PSH プッシュ(押出し)フラグです。
    RST リセット(強制終了)フラグです。
    SYN シンク(接続)フラグです。
    FIN ファイナル(終了)フラグです。

    各フラグ名のボタンをクリックすると、以下の順番に表示が変わります。
    表示に対しての設定動作は以下の通りです。
    (XXX) そのフラグを対象としません。(無視)
    +XXX そのフラグがON(ビットが1)の場合を対象とします。
    -XXX そのフラグがOFF(ビットが0)の場合を対象とします。
     ※ XXXには各フラグ名が入ります。
    +XXXと-XXXを組み合わせた場合、全ての条件と合致した場合(AND)のみを対象とします。


  5. 全ての設定が完了しましたら、[追加]ボタンをクリックします。
    (登録リストの順番が、そのまま優先順位になります。)

    その際、以下の2通りの追加方法があります。

      既存の登録情報を選択せずに[追加]ボタンをクリックする方法
     → 既存の登録情報の一番最後に登録されます。



      既存の登録情報を選択して[追加]ボタンをクリックする方法
     → 選択した場所に登録されます。
    既存の登録情報は1つ下にずれます。




以上でIPフィルタ情報の登録は完了です。

10-3-2 IPフィルタ情報の設定 へ戻る


  IPフィルタ情報の編集(修正)

登録済みのIPフィルタ情報を編集(修正)する方法は、以下の2通りがあります。

  [切り取り編集]ボタンをクリックする方法
  [コピー編集]ボタンをクリックする方法

10-3-2 IPフィルタ情報の設定 へ戻る


[切り取り編集]ボタンをクリックする方法
[切り取り編集]ボタンをクリックして、IPフィルタ情報を編集(修正)する方法について説明します。
編集するIPフィルタ情報を選択して[切り取り編集]ボタンをクリックすると、選択したIPフィルタ情報がリストから削除され、設定欄に表示されます。



編集(修正)が終わりましたら、[追加]ボタンをクリックして下さい。
[追加]ボタンについては こちら を参照して下さい。

IPフィルタ情報の編集(修正) へ戻る

[コピー編集]ボタンをクリックする方法
[コピー編集]ボタンをクリックして、IPフィルタ情報を編集(修正)する方法について説明します。
編集するIPフィルタ情報を選択して[コピー編集]ボタンをクリックすると、選択したIPフィルタ情報がリストに残ったまま、設定欄に表示されます。



編集(修正)が終わりましたら、[追加]ボタンをクリックして下さい。
[追加]ボタンについては こちら を参照して下さい。

IPフィルタ情報の編集(修正) へ戻る

10-3-2 IPフィルタ情報の設定 へ戻る


  IPフィルタ情報の削除

登録済みのIPフィルタ情報を削除したい場合、削除するIPフィルタ情報を選択して[削除]ボタンをクリックして下さい。

10-3-2 IPフィルタ情報の設定 へ戻る