9-3 ファイアウォール(IPフィルタ)の設定
ファイアウォール(IPフィルタ)の設定について説明します。

 ファイアウォール設定を行うにはTCP/IPプロトコルの知識が必要です。
誤った設定をしますとNetGenesisが正常に動作しなくなる原因となりますので注意して下さい。

 ファイアウォール(IPフィルタ)仕様

NetGenesisのファイアウォール(IPフィルタ)の仕様について説明します。

  • レイヤー3フィルタリング制御
    対応プロトコルはIPフレーム及びICMPフレームをフィルタリング制御の対象とします。
    その他のレイヤー3プロトコル(IPX等)は全て遮断します。

  • レイヤー4フィルタリング制御
    対応プロトコルはTCP及びUDPをフィルタリング制御の対象とします。
    その他のレイヤー4プロトコル(EGP、OSPF等)は全て透過します。

  • レイヤー5フィルタリング制御
    ・TCP制御 : ポート番号とフラグの監視をします。
    ・UDP制御 : ポート番号の監視をします。

先頭へ戻る

 工場出荷値について

NetGenesisの工場出荷値について説明します。

工場出荷値では以下の制御を行います。

  • ICMPによる回線の自動接続の禁止

  • NetBIOS on TCP/IPによる回線の自動接続の禁止
     (Windowsの起動や終了等による、回線の自動接続の禁止等)

  • TCPの接続(SYN)フラグ以外での回線の自動接続の禁止
     (アプリケーションの終了等による、回線の自動接続の禁止等)

  • BOOTP、TFTPによる回線の自動接続の禁止

  • AppleTalkによる回線の自動接続の禁止等

  • NetGenesisアプリケーション(ProxyDNS、SNTPサーバー機能等)宛へのNetBIOS on TCP/IPを遮断

    上記6項目共に同一LAN内での利用は可能です。

工場出荷値を変更または削除すると上記の制御が無効になります。

万が一誤った設定をしてしまいますと、意図しないときにダイヤルアップ接続が行われたり(電話料金がかかります)、逆にダイヤルアップ接続ができなかったりと、誤動作する可能性がありますので十分に注意して下さい。

工場出荷値に制御を追加して使用することを推奨します。

ファイアウォール(IPフィルタ)の設定を工場出荷値に戻す場合は以下の手順で行って下さい。

  1. セットアップユーティリティーの[LANポートの設定]画面で[ファイアウォール]ボタンをクリックして下さい。




  2. [ダイヤルアップ標準設定]ボタンをクリックして下さい。

先頭へ戻る

 フィルタ設定の登録

以下の手順でフィルタ設定の登録を行って下さい。

 以降の各設定画面は例です。
実際に設定する際は既存のLANにあわせて設定して下さい。
  1. セットアップユーティリティーの[LANポートの設定]画面で[ファイアウォール]ボタンをクリックして下さい。




  2. [No]欄にエントリー番号を入力して[追加]ボタンをクリックして下さい。
    エントリー番号は優先順位の高い制御から順に「1」から入力して下さい。



    工場出荷値の後に設定する場合は「7」を入力、工場出荷値よりも優先させる場合は「1」を入力、工場出荷値の間に登録する場合は優先順位に応じて「2」〜「6」を入力して下さい。(最大エントリー数は64エントリーまでです。)


  3. 各設定項目の入力欄が表示されます。
    Action]の行の設定内容は以下の通りです。

    • Action
      フィルタリング動作を指定します。
      [▼]をクリックし、候補の中から選択して下さい。
      ・PASS 各設定に従い指定したIPフレームを透過します。
      ・CUT 各設定に従い指定したIPフレームを遮断します。
      ・NC:CUT 回線未接続時のみ遮断します。回線接続時は透過します。
      ・MON 指定したIPフレームの通過回数をモニター(カウント)します。


    • IN と OUT
      INはNetGenesisの入力ポートを、OUTはNetGenesisの出力ポートを設定しNetGenesisを経由する対象IPフレームを指定します。
      INOUTは両方を必ず設定して下さい。
      [▼]をクリックし候補の中から選択して下さい。
      ・anyport NetGenesisのシリアルポート1、シリアルポート2、LANポート、及びNetGenesisのアプリケーションです。
      ・LANport NetGenesisのLANポートです。
      ・SIO:any NetGenesisのシリアルポート1及びシリアルポート2です。
      ・SIO:P1 NetGenesisのシリアルポート1です。
      ・SIO:P2 NetGenesisのシリアルポート2です。
      ・OWNapp NetGenesisのアプリケーション(ProxyDNS、SNTPサーバー/クライアント、電子メール共有機能等)です。
      NetGenesis Plusの場合、上記のシリアルポート1はモデムポートに、シリアルポート2はシリアルポートに該当します。
      [LANport]から[LANport]へ設定した場合の出力側の[LANport]は同一ネットワーク以外が対象になります。

    【 参考例 】

    • [IN]=[SIO:P1]、[OUT]=[LANport] の場合:
      シリアルポート1からLAN側へのIPフレームを対象とする。
    • [IN]=[LANport]、[OUT]=[OWNapp]の場合:
      LANポートからNetGenesisのアプリケーションへのIPフレームを対象とする。
    • [IN]=[OWNapp]、[OUT]=[SIO:P1]の場合:
      NetGenesisのアプリケーションからシリアルポート1へのIPフレームを対象とする。
  4. IP/Mask]の行の設定内容は以下の通りです。
    必要に応じて設定を行って下さい。

    • IP/MaskSrc.
      発信元(Source)のIPアドレスやネットワークアドレスを指定します。
      入力欄に「IPアドレス/サブネットマスクのビット数」を入力して下さい。
      サブネットマスクのビット数を入力しない場合は、ユニキャストIPアドレスとなります。

    • IP/MaskDst.
      相手先(Destination)のIPアドレスやネットワークアドレスを指定します。IP/MaskSrc.での入力方法と同じ要領で入力して下さい。

      IP/MaskSrc.Dst.の設定について
      • [Src.]と[Dst.]の両方を設定した場合
        [Src.]で指定したアドレスから発信され、[Dst.]で指定した相手先に送られるIPフレームを対象とします。

      • [Src.]のみを設定した場合
        [Src.]で指定したアドレスから発信された全てのIPフレームを対象とします。

      • [Dst.]のみを設定した場合
        [Dst.]で指定した相手先に送られる全てのIPフレームを対象とします。
      • [Src.]と[Dst.]の両方とも設定しない場合
        発信元、相手先のアドレスによる特定はなく全てのIPフレームを対象とします。
    • IP/MaskANDOR
      Src.Dst.の両方を設定した場合のみ表示されます。
      ・AND [Src.]と[Dst.]の両方の条件が合致した場合のみを対象とします。
      ・OR [Src.]と[Dst.]のどちらか片方の条件が合致した場合を対象とします。

    【 参考例 】

    • 以下のネットワークアドレスを対象とする場合
      ・IPアドレス : 192.168.0.1
      ・サブネットマスク : 255.255.255.0
      → 「192.168.0.1/24」を指定します。

    • 以下のネットワークアドレスを対象とする場合
      ・IPアドレス : 192.168.0.1
      ・サブネットマスク : 255.255.255.128
      → 「192.168.0.1/25」を指定します。

    • IPアドレス : 192.168.0.88 を対象とする場合
      → 「192.168.0.88」を指定します。
  5. Port No.]の行の設定内容は以下の通りです。
    必要に応じて設定を行って下さい。

    • Port No.Src.
      発信元(Source)からのプロトコルやサービスのポート番号を指定します。
      入力欄にポート番号を入力して下さい。

    • Port No.Dst.
      相手先(Destination)へのプロトコルやサービスのポート番号を指定します。
      入力欄にポート番号を入力して下さい。

      ウェルノウンポートについてはプロトコル名またはサービス名での入力も可能です。NetGenesisが対応しているウェルノウンポートについては[ウェルノウンポート]ボタンをクリックし[ウェルノウンポート キーワード一覧]を参照して下さい。([ウェルノウンポート キーワード一覧]画面は、コピーが可能です)
      [Src.]及び[Dst.]入力欄は、ポート番号とポート番号の間に「/」を入れることで、範囲を指定することができます。
      例 : 「201/208」 = 201(AT-RMTP)から 208(AT-8)まで。
      Port No.Src.Dst.の設定について
      • [Src.]と[Dst.]の両方を設定した場合
        [Src.]で指定したポート番号から発信され、[Dst.]で指定したポート番号へ送られるIPフレームを対象とします。

      • [Src.]のみを設定した場合
        [Src.]で指定したポート番号から発信された全てのIPフレームを対象とします。

      • [Dst.]のみを設定した場合
        [Dst.]で指定したポート番号に送られる全てのIPフレームを対象とします。
      • [Src.]と[Dst.]の両方とも設定しない場合
        発信元、相手先のポート番号による特定はなく全てのIPフレームを対象とします。
    • Port No.ANDOR
      Src.Dst.の両方を設定した場合のみ表示されます。
      ・AND [Src.]と[Dst.]の両方の条件が合致した場合のみを対象とします。
      ・OR [Src.]と[Dst.]のどちらか片方の条件が合致した場合を対象とします。


  6. Protocol]の行の設定内容は以下の通りです。

    • Protocol
      対象とするプロトコルを設定します。
      [▼]をクリックし候補の中から選択して下さい。
      ・any ICMP、TCP、UDPプロトコルを対象とします。
      ・ICMP ICMPプロトコルを対象とします。
      ・TCP TCPプロトコルを対象とします。
      ・UDP UDPプロトコルを対象とします。

       

    • Flags
      TCPプロトコルを対象とする場合はフラグの指定も可能です。
      指定可能なフラグは以下の6種類です。
      ・URG アージェント(緊急データ)フラグです。
      ・ACK アック(応答)フラグです。
      ・PSH プッシュ(押出し)フラグです。
      ・RST リセット(強制終了)フラグです。
      ・SYN シンク(接続)フラグです。
      ・FIN ファイナル(終了)フラグです。
      各フラグ名のボタンをクリックすると以下の順番に表示が変わります。
      表示に対しての設定動作は以下の通りです。
      (XXX) そのフラグを対象としません。(無視)
      +XXX そのフラグがON(ビットが1)の場合を対象とします。
      -XXX そのフラグがOFF(ビットが0)の場合を対象とします。
      XXXには各フラグ名が入ります。
      +XXXと-XXXを組み合わせた場合、全ての条件と合致した場合(AND)のみを対象とします。
  7. 設定が終わりましたら[確定]ボタンをクリックして下さい。
    設定したエントリー番号が登録リスト内に追加されます。
    既存のエントリー番号を入力した場合、その既存の番号以降の数が繰り下がります。

先頭へ戻る

 登録済みフィルタ設定情報の修正/編集

登録済みのフィルタ設定情報を修正したい場合は、以下の手順で行って下さい。

  1. 修正するフィルタ設定情報のエントリー番号を選択して[編集]ボタンをクリックして下さい。




  2. 選択したフィルタ設定情報が入力/選択欄に表示されます。
    修正が終わりましたら[更新]ボタンをクリックして下さい。
    修正した内容が登録リストに反映されます。

先頭へ戻る

 登録済みフィルタ設定情報の削除

登録済みのフィルタ設定情報を削除したい場合、削除するフィルタ設定情報のエントリー番号を選択して[削除]ボタンをクリックして下さい。

先頭へ戻る