第7章　7-4-3 設定例（ファイアウォール）

7-4-3 設定例

ファイアウォール（IPフィルタ）の設定例について説明します。

必要に応じて参照して下さい。

透過（PASS）を元とした設定例

「設定されていないIPフレームは透過（PASS）する」（工場出荷値）を元にした設定例です。

「LAN内の一部のパソコン（IPアドレス）からは、インターネットへの接続を禁止する」ための設定例です。

遮断（CUT）を元とした設定例

「設定されていないIPフレームは遮断（CUT）する」を元にした設定例です。

「LAN内の一部のパソコン（IPアドレス）からの通信を制限する」ための設定例です。
（以下の2つの通信のみを許可します。）

　・ホームページの閲覧。

　・SNTPクライアントソフトウェアの時刻情報取得。

DNS QTYPEの設定例

（透過（PASS)を元とした設定例）

インターネット接続以外のDNS名前解決要求を遮断し、外部のDNSサーバーへのトラフィックを減らすための設定例です。

LAN内にWindows 2000が稼働しているパソコンがある場合の設定例です。

実際に設定する際は、既存のLAN等に合わせて設定して下さい。

　

7-4 ファイアウォール設定へ戻る

透過（PASS）を元とした設定例

工場出荷値の制御（IPフィルタ情報）に、「LAN内の一部のパソコン（IPアドレス）からは、インターネットへの接続を禁止する」ためのIPフィルタ情報を1つ追加する例について説明します。

この例では、IPフィルタ情報5 を追加することにより、IPアドレス「192.168.0.128」以降のパソコンからインターネットへ接続することを禁止しています。（NetGenesisが遮断します。）

※1：	NetGenesisのWAN側DHCPクライアント機能によって、IPアドレスを1つ自動取得した場合の例です。
※2：	NetGenesisのLANポートIPアドレス「192.168.0.1/24」（工場出荷値）の例です。
※3：	WAN側からLAN側に対しては、IPマスカレード（1対複数 IPアドレス変換）によって不正な侵入を防ぐことができます。

　

	・	実際の登録リストに「IPフィルタ情報の番号（エントリ番号）」は表示されません。
	・	IPフィルタ情報1～4は工場出荷値（NetBIOS on TCP/IPの遮断/Microsoft-DSの遮断）です。

IPフィルタ情報 5

　Action

CUT（遮断）

IN

LANport　

OUT

WANport

　IP/Mask ：

Src．

192.168.0.128/25

Dst．

－（空欄）

AND/OR

－

　Port No．：

Src．

－（空欄）

Dst．

－（空欄）

AND/OR

－

　DNS QTYPE：

－（空欄）

　Protocol ：

any

Flags

－（未設定）

備　考

192.168.0.128以降のIPアドレスからWAN側への通信を遮断します。
「192.168.0.128/25」と設定することにより、192.168.0.128～192.168.0.255のIPアドレス範囲が指定されます。

（登録場所はどこでもかまいません。）

※	PPPoEクライアント機能を使用する場合（フレッツ・ADSL等）、「OUT」を「WANport」から「PPPoEport」へ変更して下さい。

7-4-3 設定例へ戻る

遮断（CUT）を元とした設定例

　

［設定されていないIPフレームは遮断（CUT）する］へ変更する場合、設定したい内容を明確化し、LAN管理者等と相談の上、慎重に設定して下さい。

工場出荷値の「設定されていないIPフレームは透過（PASS）する」を、「設定されていないIPフレームは遮断（CUT）する」へ変更する例について説明します。

この例ではIPフィルタ情報5～14を追加することにより、以下のような動作を実現しています。


	パソコン(1)～(2) ・ IPアドレス「192.168.0.100～192.168.0.101」からは制限無しにインターネットへアクセスが可能。

	他のパソコン・パソコン(3)～パソコン(4) からホームページ閲覧が可能。
	他のパソコン・パソコン(3)～パソコン(4) からSNTPクライアントソフトウェアによる時刻情報取得が可能。
	→他のインターネットとの通信はNetGenesisが遮断。

※1：	NetGenesisのWAN側PPPoEクライアント機能によって、IPアドレスを1つ自動取得した場合の例です。
※2：	NetGenesisのLANポートIPアドレス「192.168.0.1/24」（工場出荷値）の例です。
※3：	WAN側からLAN側に対しては、IPマスカレード（1対複数 IPアドレス変換）によって不正な侵入を防ぐことができます。

　

この例のNetGenesisの設定（ファイアウォール以外）は以下の通りです。

【 WANポートの設定】
	PPPoEクライアント・IPアドレス自動取得［IPアドレス変換有効］
上記以外のWANポートの各設定は工場出荷値。
【 LANポートの設定】
	SNTPサーバー機能を使用する。
	DHCPサーバー機能を使用する。（設定は工場出荷値。）
	SYSLOG機能を使用する。（ホストIPアドレス：192.168.0.100）
上記以外のLANポートの各設定は工場出荷値。

　

この例の各パソコンの設定は以下の通りです。

【パソコン(1)～(2) ・インターネットへのアクセス・制限無し】
TCP/IP設定は個別に設定。
	IPアドレス	：	192.168.0.100 または 192.168.0.101
	サブネットマスク	：	255.255.255.0
	DNSサーバー	：	192.168.0.1
	ゲートウェイ	：	192.168.0.1

【パソコン(3)～(4) ・インターネットへのアクセス・制限有り】

TCP/IP設定は自動取得。
（NetGenesisのDHCPサーバーから自動取得。）

【パソコン(1)～(4) ・ SNTPクライアントソフトウェア】
	SNTPクライアントソフトウェアを使用する場合、SNTPクライアントソフトウェアの「NTPサーバー」欄は以下のいずれかを設定します。
	・NetGenesisのLANポートIPアドレスか、ニックネーム+「．」を設定する。　・インターネット上のNTPサーバーを設定する。

　

	・	実際の登録リストに「IPフィルタ情報の番号（エントリ番号）」は表示されません。
	・	IPフィルタ情報1～4は工場出荷値（NetBIOS on TCP/IPの遮断/Microsoft-DSの遮断）です。

IPフィルタ情報 5

　Action

PASS（透過）

IN

anyport

OUT

anyport

　IP/Mask ：

Src．

－（空欄）

Dst．

－（空欄）

AND/OR

－

　Port No．：

Src．

53

Dst．

53

AND/OR

OR

　DNS QTYPE：

－（空欄）

　Protocol ：

UDP

Flags

－（未設定）

備　考

LANポート側・NetGenesisから（インターネット上の）DNSサーバーへの接続と、（インターネット上の）DNSサーバーからLANポート側・NetGenesisへの接続の両方を許可します。

IPフィルタ情報 6

　Action

PASS（透過）

IN

LANport　

OUT

PPPoEport

　IP/Mask ：

Src．

－（空欄）

Dst．

－（空欄）

AND/OR

－

　Port No．：

Src．

－（空欄）

Dst．

80

AND/OR

－

　DNS QTYPE：

－（空欄）

　Protocol ：

TCP

Flags

－（未設定）

備　考

LANポート側から（インターネット上の）ホームページへの接続を許可します。

（LAN内からホームページ宛に開始される通信・行き）

※	DHCPクライアント機能を使用する場合、「OUT」を「PPPoEport」から「WANport」へ変更して下さい。

IPフィルタ情報 7

　Action

PASS（透過）

IN

PPPoEport

OUT

LANport

　IP/Mask ：

Src．

－（空欄）

Dst．

－（空欄）

AND/OR

－

　Port No．：

Src．

80

Dst．

－（空欄）

AND/OR

－

　DNS QTYPE：

－（空欄）

　Protocol ：

TCP

Flags

－（未設定）

備　考

（インターネット上の）ホームページからLANポート側への接続を許可します。

（LAN内からホームページ宛に開始される通信・戻り）

※1：	DHCPクライアント機能を使用する場合、「IN」を「PPPoEport」から「WANport」へ変更して下さい。

※2：	インターネット側からLANポート側のTCPポート80番に対して通信が開始された場合は遮断されます。
	（IPフィルタ情報6～7により、LANポート側から開始される通信のみを許可しています。）

　

IPフィルタ情報 8

　Action

PASS（透過）

IN

LANport　

OUT

PPPoEport

　IP/Mask ：

Src．

－（空欄）

Dst．

－（空欄）

AND/OR

－

　Port No．：

Src．

－（空欄）

Dst．

443

AND/OR

－

　DNS QTYPE：

－（空欄）

　Protocol ：

TCP

Flags

－（未設定）

備　考

LANポート側から（インターネット上の）SSL対応のホームページへの接続を許可します。

（LAN内からSSL対応のホームページ宛に開始される通信・行き）

※1：	SSL対応のホームページとの通信を禁止する場合、IPフィルタ情報8～9は不要です。
	（対象IPアドレス「192.168.0.100～192.168.0.101」以外）

※2：	DHCPクライアント機能を使用する場合、「OUT」を「PPPoEport」から「WANport」へ変更して下さい。

IPフィルタ情報 9

　Action

PASS（透過）

IN

PPPoEport　

OUT

LANport

　IP/Mask ：

Src．

－（空欄）

Dst．

－（空欄）

AND/OR

－

　Port No．：

Src．

443

Dst．

－（空欄）

AND/OR

－

　DNS QTYPE：

－（空欄）

　Protocol ：

TCP

Flags

－（未設定）

備　考

（インターネット上の）SSL対応のホームページからLANポート側への接続を許可します。

（LAN内からSSL対応のホームページ宛に開始される通信・戻り）

※1：	SSL対応のホームページとの通信を禁止する場合、IPフィルタ情報6～7は不要です。
	（対象IPアドレス「192.168.0.100～192.168.0.101」以外）

※2：	DHCPクライアント機能を使用する場合、「IN」を「PPPoEport」から「WANport」へ変更して下さい。

※3：	インターネット側からLANポート側のTCPポート443番に対して通信が開始された場合は遮断されます。
	（IPフィルタ情報8～9により、LANポート側から開始される通信のみを許可しています。）

IPフィルタ情報 10

　Action

PASS（透過）

IN

anyport　

OUT

anyport

　IP/Mask ：

Src．

－（空欄）

Dst．

－（空欄）

AND/OR

－

　Port No．：

Src．

123

Dst．

123

AND/OR

OR

　DNS QTYPE：

－（空欄）

　Protocol ：

UDP

Flags

－（未設定）

備　考

LANポート側・NetGenesisから（インターネット上の）SNTP/NTPサーバーへの接続と、（インターネット上の）SNTP/NTPサーバーからLANポート側・NetGenesisへの接続の両方を許可します。

※	SNTP/NTPサーバーとの通信を行わない場合、このIPフィルタ情報は不要です。

IPフィルタ情報 11

　Action

PASS（透過）

IN

LANport　

OUT

OWNapp

　IP/Mask ：

Src．

－（空欄）

Dst．

－（空欄）

AND/OR

－

　Port No．：

Src．

－（空欄）

Dst．

67/68

AND/OR

－

　DNS QTYPE：

－（空欄）

　Protocol ：

UDP

Flags

－（未設定）

備　考

LANポート側からNetGenesisのDHCPサーバーへの接続を許可します。

（LAN内からNetGenesisのDHCPサーバー宛に開始される通信・行き）

※	DHCPサーバー機能を使用しない場合（各パソコンにIPアドレスを指定する場合）、IPフィルタ情報11～12は不要です。

IPフィルタ情報 12

　Action

PASS（透過）

IN

OWNapp

OUT

LANport

　IP/Mask ：

Src．

－（空欄）

Dst．

－（空欄）

AND/OR

－

　Port No．：

Src．

67/68

Dst．

－（空欄）

AND/OR

－

　DNS QTYPE：

－（空欄）

　Protocol ：

UDP

Flags

－（未設定）

備　考

NetGenesisのDHCPサーバーからLANポート側への接続を許可します。

（LAN内からNetGenesisのDHCPサーバー宛に開始される通信・戻り）

※	DHCPサーバー機能を使用しない場合（各パソコンにIPアドレスを指定する場合）、IPフィルタ情報11～12は不要です。

IPフィルタ情報 13

　Action

PASS（透過）

IN

OWNport　

OUT

LANport

　IP/Mask ：

Src．

－（空欄）

Dst．

－（空欄）

AND/OR

－

　Port No．：

Src．

514

Dst．

－（空欄）

AND/OR

－

　DNS QTYPE：

－（空欄）

　Protocol ：

UDP

Flags

－（未設定）

備　考

NetGenesisのSYSLOGをLANポート側へ送出します。

※1：	NetGenesisのSYSLOG設定を有効にしても、このIPフィルタ情報を追加し忘れた場合、LAN内のパソコンでNetGenesisのSYSLOGを参照することができません。

※2：	「NetGenesisの設定」画面の［SYSLOG表示］を使用してSYSLOGを確認する場合、このIPフィルタ情報は不要です。

IPフィルタ情報 14

　Action

PASS（透過）

IN

anyport　

OUT

anyport

　IP/Mask ：

Src．

192.168.0.100/31

Dst．

192.168.0.100/31

AND/OR

OR

　Port No．：

Src．

－（空欄）

Dst．

－（空欄）

AND/OR

－

　DNS QTYPE：

－（空欄）

　Protocol ：

any

Flags

－（未設定）

備　考

IPアドレス「192.168.0.100～192.168.0.101」のパソコンから制限無しにインターネットへアクセスすることを許可します。TCP/UDP/ICMPプロトコルを使用した通信が可能になります。
「192.168.0.100/31」と設定することにより、192.168.0.100～192.168.0.101のIPアドレス範囲が指定されます。

IPアドレス「192.168.0.100～192.168.0.101」以外のパソコンからは、IPフィルタ情報5～13で透過設定したもの以外、「設定されていないIPフレームは遮断（CUT）する」を元に全て遮断されます。

※	WAN側からLAN側に対しては、IPアドレス変換によって不正な侵入を防ぐことができます。

7-4-3 設定例へ戻る

DNS QTYPEの設定例

インターネット接続以外の目的のDNS名前解決要求を遮断し、外部のDNSサーバーへのトラフィックを減らすための設定例について説明します。

（DNS QTYPEの設定例です。）

Windows 2000において以下の設定または操作を行うと、外部のDNSサーバーへインターネット接続以外の目的のDNS名前解決要求が発行されます。


	Windows 2000 Serverで、TCP/IP設定のDNS設定の［この接続のアドレスをDNSに登録する］にチェックが入っている。（DNS QTYPE 6 が発行される。）
	フォルダの共有設定の「アクセス許可」の設定で、ユーザーやグループを追加する。（DNS QTYPE 33 が発行される。）

IPフィルタ情報5～6を追加（DNS QTYPE6・33を遮断）することにより、外部のDNSサーバーに対するトラフィックを減らすことができます。

※1：	NetGenesisのWAN側DHCPクライアント機能によって、IPアドレスを1つ自動取得した場合の例です。
※2：	NetGenesisのLANポートIPアドレス「192.168.0.1/24」（工場出荷値）の例です。
※3：	WAN側からLAN側に対しては、IPマスカレード（1対複数 IPアドレス変換）によって不正な侵入を防ぐことができます。

　

	・	実際の登録リストに「IPフィルタ情報の番号（エントリ番号）」は表示されません。
	・	IPフィルタ情報1～4は工場出荷値（NetBIOS on TCP/IPの遮断/Microsoft-DSの遮断）です。

IPフィルタ情報 5

　Action

CUT（遮断）

IN

anyport　

OUT

WANport

　IP/Mask ：

Src．

－（空欄）

Dst．

－（空欄）

AND/OR

－

　Port No．：

Src．

53

Dst．

53

AND/OR

OR

　DNS QTYPE：

6

　Protocol ：

UDP

Flags

－（未設定）

備　考

Windows 2000 Serverで、TCP/IP設定のDNS設定の［この接続のアドレスをDNSに登録する］にチェックが入っている場合に定期的に発生する外部DNSサーバーへの問い合わせを遮断します。

※1：	LAN内にWindows 2000 Serverが稼働しているパソコンが無い場合、このIPフィルタ情報は不要です。

※2：	PPPoEクライアント機能を使用する場合（フレッツ・ADSL等）、「OUT」を「WANport」から「PPPoEport」へ変更して下さい。

IPフィルタ情報 6

　Action

CUT（遮断）

IN

anyport　

OUT

WANport

　IP/Mask ：

Src．

－（空欄）

Dst．

－（空欄）

AND/OR

－

　Port No．：

Src．

53

Dst．

53

AND/OR

OR

　DNS QTYPE：

33

　Protocol ：

UDP

Flags

－（未設定）

備　考

フォルダの共有設定の「アクセス許可」の設定で、ユーザーやグループを追加したときに発生する外部DNSサーバーへの問い合わせを遮断します。

※	PPPoEクライアント機能を使用する場合（フレッツ・ADSL等）、「OUT」を「WANport」から「PPPoEport」へ変更して下さい。

7-4-3 設定例へ戻る