7-4 ファイアウォール設定

NetGenesisのファイアウォール(IPフィルタ)の設定について説明します。
 
ファイアウォール(IPフィルタ)の設定を行うには、TCP/IPプロトコルの知識が必要です。
誤った設定をしますと、NetGenesisが正常に動作しなくなる原因となりますので、注意して下さい。

以下の内容を参照して下さい。
 7-4-1 仕様と工場出荷値
 7-4-2 設定手順
 7-4-3 設定例
第7章 LANポートの設定 へ戻る
7-4-1 仕様と工場出荷値

NetGenesisのファイアウォール(IPフィルタ)の仕様と工場出荷値について説明します。

  NetGenesisのファイアウォール(IPフィルタ)仕様
NetGenesisのファイアウォール(IPフィルタ)仕様は以下の通りです。
  レイヤー3フィルタリング制御
IPフレーム、及びICMPフレームをフィルタリング制御の対象とします。
その他のレイヤー3プロトコル(IPX等)は全て遮断します。
  レイヤー4フィルタリング制御
TCP、UDP、GRE、ESP、AHをフィルタリング制御の対象とします。
(その他のレイヤー4プロトコルについては、プロトコル番号を指定することにより、フィルタリング制御が可能。)
  レイヤー5フィルタリング制御
・TCP制御 ポート番号とフラグの監視をします。
・UDP制御 ポート番号の監視をします。

  NetGenesisの工場出荷値
NetGenesisの工場出荷値では、以下の制御を行います。
  NetBIOS on TCP/IPを遮断(TCPプロトコル及びUDPプロトコル)
  Microsoft-DSを遮断(TCPプロトコル及びUDPプロトコル)
 ※同一LAN内での利用は可能です。

  IPフィルタの動作
登録リストは優先順位の高い順番になっています。
NetGenesisを通るIPフレームは登録リストの登録順に従ってフィルタリングされます。
 動作例)
 ・ 設定されていないIPフレームは透過(PASS)する。
 ・ NetGenesisのLAN側からWAN側へのIPフレームをIPフィルタの対象とする。
(登録したIPフィルタ情報に合致した場合は遮断・CUTする。)
  WAN側からLAN側に対しては、IPマスカレード(1対複数 IPアドレス変換)機能によってLAN内(プライベートIPアドレス)への不正な侵入を防ぐことができます。
ただし、以下に該当する場合はIPマスカレードによる保護の対象外となります。
(必要に応じてファイアウォール(IPフィルタ)の設定を行って下さい。)
 
 ・ 複数固定IPアドレス変換機能を使用し、かつNAT(1対1 IPアドレス変換)されるプライベートIPアドレス。
 ・ DMZホスト機能を使用し、「転送先(DMZ HOST)IPアドレス」に設定したプライベートIPアドレス。
 ・ アンナンバード(unnumbered)機能を使用する場合。(IPアドレス変換無効)
 ・ ローカルルータ機能を使用する場合。(IPアドレス変換無効)
  DMZホスト機能・有効時、及びIPマスカレードテーブルを設定しても、ファイアウォール(IPフィルタ)の設定で遮断(WAN側→LAN側)するように設定したプロトコル・ポート番号は、ファイアウォール(IPフィルタ)の設定に基づき遮断されます。
詳しくは 第9章 DMZホスト機能とIPマスカレードテーブルの設定 を参照して下さい。

ファイアウォール(IPフィルタ)の設定を行う場合は、7-4-2 設定手順 へ進んで下さい。
7-4 ファイアウォール設定 へ戻る
7-4-2 設定手順

IPフィルタ情報の設定について説明します。

設定画面のメニューの「LANポートの設定」の中の、[ファイアウォール設定]をクリックして下さい。



 
工場出荷値では[設定されていないIPフレームは透過(PASS)する]が選択されています。
通常はそのまま変更せず、既存のIPフィルタ情報に設定を追加することを推奨します。
[設定されていないIPフレームは遮断(CUT)する]へ変更する場合、設定したい内容を明確化し、LAN管理者等と相談の上、慎重に設定して下さい。
[設定されていないIPフレームは遮断(CUT)する]に設定する場合、設定を誤るとNetGenesisの設定画面へログオンできなくなることがあります。
 例) ・パソコンのTCP/IP設定が「自動取得」になっている。
・NetGenesisのDHCPサーバーを使用する。
 → NetGenesisのDHCPサーバーへの接続を許可するためのIPフィルタ情報を登録し忘れると、パソコンがNetGenesisからIPアドレスを取得できなくなるため、NetGenesisが見つからなくなります。
(参考 NetGenesisのDHCPサーバーへの接続を許可するためのIPフィルタ情報)
この場合、以下の2通りの対処法があります。
  対処法 その1) NetGenesis背面のRESETボタンを使用する
     NetGenesis背面のRESETボタンを使用することにより、NetGenesisの全ての設定を工場出荷値に戻すことが可能です。(この場合、NetGenesisの再設定が必要です。)
RESETボタンについては以下を参照して下さい。
 Q&A集 全ての設定を工場出荷値に戻したい
 ※ RESETボタンを使用した後、パソコンを再起動して下さい。
  対処法 その2) パソコンのIPアドレスを「自動取得」から「IPアドレスを固定」に変更する
     パソコンのIPアドレスをNetGenesisのLANポートIPアドレスと同一ネットワークのIPアドレスに設定することにより、NetGenesisが見つかるようになります。
それぞれ、使用するオペレーティングシステムに応じて以下を参照して下さい。
 2-1-2 TCP/IPの設定(個別に設定)(Windows 95/98/Me)
 2-2-2 TCP/IPの設定(個別に設定)(Windows NT4.0)
 2-3-2 TCP/IPの設定(個別に設定)(Windows 2000)
 2-4-2 TCP/IPの設定(個別に設定)(Windows XP)
 2-5-2 TCP/IPの設定(個別に設定)(Mac OS 7.6.x〜9.2.2)
 2-6-2 TCP/IPの設定(個別に設定)(Mac OS X)
遮断(CUT)の設定例については、7-4-3 設定例  を参照して下さい。

以下の内容を参照して下さい。
 IPフィルタ情報の新規登録(追加)
 IPフィルタ情報の編集(修正)・削除
7-4 ファイアウォール設定 へ戻る
IPフィルタ情報の新規登録(追加)

以下の手順でIPフィルタ情報(エントリ)の登録を行って下さい。

本設定画面は設定項目が多いため、WWWブラウザを全画面表示にすると、作業を行いやすくなります。

  登録可能なIPフィルタ情報数は、最大64個です。
  1. 登録リスト 最後のエントリの下の[編集]ボタンをクリックして下さい。



    「ファイアウォール リスト追加・編集」画面が表示されます。



     
  2. [Action]の行の設定を行います。


     
      Action
    フィルタリング動作を指定します。
    [▼]をクリックし、候補の中から選択して下さい。
    PASS(透過) 各設定に従い、指定したIPフレームを透過します。
    CUT(遮断) 各設定に従い、指定したIPフレームを遮断します。

      IN OUT
    INはNetGenesisの入力ポートを、OUTはNetGenesisの出力ポートを設定し、NetGenesisを経由する対象IPフレームを指定します。
    INOUTは両方を必ず設定して下さい。
    [▼]をクリックし、候補の中から選択して下さい。
    anyport NetGenesisのWANポート、LANポート、及びNetGenesisのアプリケーションです。
    WANport NetGenesisのWANポートです。(※1)
    LANport NetGenesisのLANポートです。(※2)
    PPPoEport NetGenesisのWANポート(PPPoEクライアント設定時)です。(※3)
    OWNapp NetGenesisのアプリケーション(ProxyDNS、SNTPサーバー・クライアント等)です。(※4)
     ※1: WANポートで以下の動作モードを選択した場合に該当します。
     ・ DHCPクライアント IPアドレス自動取得 [IPアドレス変換有効]
     ・ IPアドレス固定(1〜16個) [IPアドレス変換有効]
     ・ IPアドレス固定 アンナンバード(unnumbered) [IPアドレス変換無効]
     ・ ローカルルータ [IPアドレス変換無効]
     ※2: INとOUTの両方を[LANport]に設定した場合、出力側(OUT)の[LANport]は同一ネットワーク以外が対象になります。
    同一ネットワーク内(HUB間)のフィルタリングはできません。
     ※3: WANポートで以下の動作モード(PPPoEクライアントの全モード)を選択した場合に該当します。
     ・ PPPoEクライアント IPアドレス自動取得 [IPアドレス変換有効]
     ・ PPPoEクライアント IPアドレス固定(1〜16個) [IPアドレス変換有効]
     ・ PPPoEクライアント アンナンバード(unnumbered) [IPアドレス変換無効]
     ※4: NetGenesisのLANポートIPアドレスを対象とする場合、対象ポートを「OWNapp」にします。

    【 参考例 】
    設定例 対象となるIPフレーム
    例1 [IN]=[WANport] WANポートからLANポートへのIPフレームを対象とする。
    [OUT]=[LANport]
    例2 [IN]=[LANport] LANポートからNetGenesisのアプリケーションへのIPフレームを対象とする。
    [OUT]=[OWNapp]
    例3 [IN]=[OWNapp] NetGenesisのアプリケーションからWANポートへのIPフレームを対象とする。
    [OUT]=[WANport]


  3. [IP/Mask]の行の設定を行います。
     ※ 本設定は必須ではありません。必要に応じて設定を行って下さい。


     
      IP/Mask Src.
    発信元(Source)のIPアドレスやネットワークアドレスを指定します。
    入力欄に「IPアドレス/サブネットマスクのビット数」を入力して下さい。
    サブネットマスクのビット数を入力しない場合は、ユニキャストIPアドレスとなります。
      IP/Mask Dst.
    相手先(Destination)のIPアドレスやネットワークアドレスを指定します。
    IP/MaskのSrc.と同じ要領で入力して下さい。
    【 IP/MaskのSrc.とDst.の設定について 】
     Case1)[Src.]と[Dst.]の両方を設定した場合
      → [Src.]で指定したアドレスから発信され、[Dst.]で指定した相手先に送られるIPフレームを対象とします。
     Case2)[Src.]のみを設定した場合
      → [Src.]で指定したアドレスから発信された、全てのIPフレームを対象とします。
     Case3)[Dst.]のみを設定した場合
      → [Dst.]で指定した相手先に送られる、全てのIPフレームを対象とします。
     Case4)[Src.]と[Dst.]の両方とも設定しない場合
      → 発信元、相手先のアドレスによる特定はなく、全てのIPフレームを対象とします。

      IP/MaskANDOR
    Src.Dst.の両方を設定した場合に選択して下さい。
    AND [Src.]と[Dst.]の両方の条件が合致した場合のみを対象とします。
    OR [Src.]と[Dst.]のどちらか片方の条件が合致した場合を対象とします。

    【 参考例 】
    対象とするアドレス   IP/Maskの設定  
    例1  以下のネットワークを対象とする  
      ・ネットワークアドレス:192.168.0.0
      ・サブネット:/24(255.255.255.0)    		 192.168.0.0/24
    例2  以下のネットワークを対象とする  
      ・ネットワークアドレス:192.168.0.128
      ・サブネット:/25(255.255.255.128)    		 192.168.0.128/25
    例3  IPアドレス:192.168.0.88 を対象とする 192.168.0.88
    例4  以下のIPアドレス範囲をを対象とする
      ・IPアドレス:192.168.0.80〜95    		 192.168.0.80/28


  4. [Port No]の行の設定を行います。
     ※ 本設定は必須ではありません。必要に応じて設定を行って下さい。


     
      Port No. Src.
    発信元(Source)からのプロトコルやサービスのポート番号を指定します。
    入力欄にポート番号を入力して下さい。
      Port No. Dst.
    相手先(Destination)へのプロトコルやサービスのポート番号を指定します。
    入力欄にポート番号を入力して下さい。
     ※ [Src.]及び[Dst.]入力欄は、ポート番号とポート番号の間に「/」を入れることで、範囲を指定することができます。
      例 : 「201/208」 = 201(AT-RMTP)から 208(AT-8)まで。

    【 Port No.のSrc.とDst.の設定について 】
     Case1)[Src.]と[Dst.]の両方を設定した場合
      → [Src.]で指定したポート番号から発信され、[Dst.]で指定したポート番号へ送られるIPフレームを対象とします。
     Case2)[Src.]のみを設定した場合
      → [Src.]で指定したポート番号から発信された、全てのIPフレームを対象とします。
     Case3)[Dst.]のみを設定した場合
      → [Dst.]で指定したポート番号に送られる、全てのIPフレームを対象とします。
     Case4)[Src.]と[Dst.]の両方とも設定しない場合
      → 発信元、相手先のポート番号による特定はなく、全てのIPフレームを対象とします。

      Port NoANDOR
    Src.Dst.の両方を設定した場合に選択して下さい。
    AND [Src.]と[Dst.]の両方の条件が合致した場合のみを対象とします。
    OR [Src.]と[Dst.]のどちらか片方の条件が合致した場合を対象とします。

      DNS QTYPE
    [Port No.]で「domain」もしくは「53」を指定し、[Protocol]で「UDP」を指定した場合のみ、DNSのQTYPEを指定することが可能です
     
    【 ウェルノウンポート一覧とDNS QTYPE一覧について 】
     ・ウェルノウンポートについてはプロトコル名またはサービス名での入力も可能です。
     ・DNS QTYPEについてはタイプ名、または番号での入力も可能です。
    ウェルノウンポートやDNS QTYPE一覧については、「制御/情報表示」の中の[ウェルノウンポート一覧]や[DNS QTYPE一覧]を参考にして下さい。
    (NetGenesisの設定画面と別のウィンドウが開きます。「ウェルノウンポート一覧」画面、「DNS QTYPE キーワード一覧」画面ともにコピーが可能です。)


  5. [Protocol]の行の設定を行います。
      Protocol
    対象とするプロトコルを設定します。
    [▼]をクリックし、候補の中から選択して下さい。
    any ICMP、TCP、UDP、GRE、ESP、AHプロトコルを対象とします。
     ※ ICMPプロトコルは「Port No」の設定に関わりなく、常に処理の対象となりますので注意して下さい。(「IP Mask」の設定は反映されます。)
    ICMP ICMPプロトコルを対象とします。
    TCP TCPプロトコルを対象とします。
    UDP UDPプロトコルを対象とします。
    GRE GREプロトコルを対象とします。
    ESP ESPプロトコルを対象とします。
    AH AHプロトコルを対象とします。
    ユーザー指定 任意のプロトコル番号を対象とします。
    「ユーザー指定プロトコル番号」欄に、対象とするプロトコル番号を入力して下さい。

      Flags
    TCPプロトコルを対象とする場合は、フラグの指定も可能です。
     
      指定可能なフラグは以下の6種類です。
    URG アージェント(緊急データ)フラグです。
    ACK アック(応答)フラグです。
    PSH プッシュ(押出し)フラグです。
    RST リセット(強制終了)フラグです。
    SYN シンク(接続)フラグです。
    FIN ファイナル(終了)フラグです。

    各フラグ名のボタンをクリックすると、以下の順番に表示が変わります。
    表示に対しての設定動作は以下の通りです。
    (XXX) そのフラグを対象としません。(無視)
    +XXX そのフラグがON(ビットが1)の場合を対象とします。
    -XXX そのフラグがOFF(ビットが0)の場合を対象とします。
     ※ XXXには各フラグ名が入ります。
    +XXXと-XXXを組み合わせた場合、全ての条件と合致した場合(AND)のみを対象とします。


  6. 全ての設定が完了しましたら、[追加]ボタンをクリックして下さい。

    [追加]ボタンをクリックすると、既存のエントリの最後尾に「編集を行ったIPフィルタ情報」が追加されます。
     
    登録リストの順番が、そのまま処理の「優先順位」になります。
    「追加したエントリが最後尾にある=一番最後に処理される」ということになりますので、必要に応じて追加したエントリを移動して下さい。
  エントリ右横のボタンについて
  既存のエントリを編集(修正)、移動する際に使用します。
各ボタンの動作は以下の通りです。
 
 
  [編集]ボタン エントリを編集(切り取り編集)します。
IPフィルタ情報の編集(修正)・削除 を参照して下さい。
 ※ 最後のエントリの下の[編集]ボタンは、新たにエントリを追加する際にクリックします。
  [コピー]ボタン エントリを編集(コピー編集)します。
IPフィルタ情報の編集(修正)・削除 を参照して下さい。
  [削除]ボタン エントリを削除します。
IPフィルタ情報の編集(修正)・削除 を参照して下さい。
  [▲]ボタン エントリを1つ上に移動します。
  [▼]ボタン エントリを1つ下に移動します。
  [先頭]ボタン エントリを登録リストの先頭へ移動します。
  [最後]ボタン エントリを登録リストの最後(最後尾)へ移動します。

全ての設定が完了しましたら、[設定]ボタンをクリックして下さい。


 
  引き続き設定を行う場合は、左のメニューをクリックし、必要な設定を行って下さい。
  全ての設定が完了した場合は、[設定の更新]をクリックして下さい。
第10章 設定の更新・設定バックアップ/初期化 へ進んで下さい。)
7-4-2 設定手順 へ戻る
IPフィルタ情報の編集(修正)・削除 

登録済みのIPフィルタ情報を編集(修正)・削除する方法について説明します。
 [編集]ボタン  [コピー]ボタン  [削除]ボタン

  [編集]ボタン

編集(修正)するエントリ欄右横の[編集]ボタンをクリックすると、登録リストから削除され、「ファイアウォール リスト追加・編集」画面に表示されます。

編集(修正)が終わりましたら、[追加]ボタンをクリックして下さい。

[追加]ボタンを押した後、エントリの移動を行う場合は こちら を参照して下さい。

  [コピー]ボタン

編集(修正)するエントリ欄右横の[コピー]ボタンをクリックすると、登録リストにそのエントリが残ったまま、「ファイアウォール リスト追加・編集」画面に表示されます。

修正が終わりましたら、[追加]ボタンをクリックして下さい。

[追加]ボタンを押した後、エントリの移動を行う場合は こちら を参照して下さい。

  [削除]ボタン

登録済みのIPフィルタ情報を削除したい場合、削除するエントリの右横の[削除]ボタンをクリックして下さい。
 
7-4-2 設定手順 へ戻る