セキュリティポリシー
以下の通信を透過し、その他の通信は遮断します。

  ・ WAN側のホームページ閲覧
  ・ WAN側SSL対応ホームページとの通信
  ・ 電子メールの送受信
  ・ FTPサーバーとの通信(ポートモードのみ)
  ・ Proxyサーバーへの通信(ポート番号は8080とします。)
  ・ LAN内から開始された通信の応答
  ・ LAN側からWAN側のDNSサーバーへの通信
  ・ NetGenesisのProxyDNS機能の通信
  ・ NetGenesisのSNTPサーバー・クライアント機能の通信
  ・ NetGenesisのDHCPサーバー機能とLAN側PCの通信
  ・ NetGenesisの設定画面への通信
  ・ NetGenesisのSYSLOGをLAN側パソコンへ送信

注意事項

■「ファイアウォール設定」画面で「設定されていないIPフレームは遮断する」を選択して下さい。

■特定のパソコンを対象としたフィルタを設定する場合は、そのパソコンのTCP/IP設定(IPアドレス等)を固定して下さい。

■本設定例は、NetGenesisの動作モード設定(WANポートの設定)のPPPoEポート1(セッション1)を「PPPoEクライアント・IPアドレス自動取得」または「IPアドレス固定(1〜16個)」に設定した場合の設定例です。
「DHCPクライアント(IPアドレス自動取得)に設定した場合や、「IPアドレス固定・IPアドレス固定(1〜16個)」に設定した場合は、以降のファイアウォール設定例中の「PPPoE1」を「wan」と置き換えて設定して下さい。

■本設定をPPPoEセッション2に適用する場合は、以降のファイアウォール設定例中の「PPPoE1」を「PPPoE2」と置き換えて設定して下さい。

本設定を行うと、LAN側FTPクライアントからWAN側FTPサーバーへのPASV(Passive)モードでの接続はできなくなります。
FTPクライアントソフト側をポート(Port)モードで接続するように設定して下さい。

本設定を行うと、WWWブラウザからファイルのダウンロードができなくなる場合があります。
(WWWブラウザがFTPサーバーからファイルをダウンロードする場合、PASV(Passive)モードで動作することがあるため。)
その場合、WWWブラウザからではなく、FTPクライアントソフトを使用してポート(Port)モードでFTPサーバーへ接続して下さい。

追加するフィルタ

目的
追加 1
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 53 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
LAN側→WAN側方向のDNSサーバー宛の通信を透過します。
本フィルタはLAN側のパソコンがWAN側のDNSサーバーを直接参照する場合に必要です。
NetGenesisのProxyDNS機能のみを使用する(WAN側のDNSサーバーを直接参照しない)場合は本フィルタは不要です。
追加 2
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 53 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
追加1の応答を透過します。
追加 3
 Action PASS(透過)

 IN

own_app

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 53 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
NetGenesis(ProxyDNS機能)→WAN側方向のDNSサーバー宛の通信を透過します。
追加 4
 Action PASS(透過)

 IN

PPPoE1

 OUT

own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 53 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
追加3の応答を透過します。
追加 5
 Action PASS(透過)

 IN

lan

 OUT

own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 53 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
LAN側→NetGenesis(ProxyDNS機能)方向の通信を透過します。
追加 6
 Action PASS(透過)

 IN

own_app

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 53 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
追加5の応答を透過します。
 
- 備考 -
追加1〜追加6のフィルタは以下のフィルタで1つにまとめることができます。
使用環境やセキュリティポリシーに応じて設定して下さい。
 Action PASS(透過)

 IN

any

 OUT

any
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 53 Dst. 53 AND/OR or
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)

追加 7
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 123 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
LAN側→WAN側方向のSNTPサーバー宛の通信を透過します。
本フィルタはLAN側のパソコンがWAN側のNTP/SNTPサーバーを直接参照する場合に必要です。
NetGenesisのSNTPサーバー/クライアント機能のみを使用する(WAN側のNTP/SNTPサーバーを直接参照しない)場合は本フィルタは不要です。
追加 8
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 123 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
追加7の応答を透過します。
追加 9
 Action PASS(透過)

 IN

own_app

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 123 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
NetGenesis(SNTPクライアント機能)→WAN側方向のNTP/SNTPサーバー宛の通信を透過します。
追加 10
 Action PASS(透過)

 IN

PPPoE1

 OUT

own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 123 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
追加9の応答を透過します。
追加 11
 Action PASS(透過)

 IN

lan

 OUT

own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 123 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
LAN側→NetGenesis(SNTPサーバー機能)方向の通信を透過します。
追加 12
 Action PASS(透過)

 IN

own_app

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 123 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
追加11の応答を透過します。
 
- 備考 -
追加7〜追加12のフィルタは以下のフィルタで1つにまとめることができます。
使用環境やセキュリティポリシーに応じて設定して下さい。
 Action PASS(透過)

 IN

any

 OUT

any
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 123 Dst. 123 AND/OR or
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)

追加 13
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 80 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
LAN側→WAN側方向のWWWサーバー宛の通信を透過します。
追加 14
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 25 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
LAN側→WAN側方向の送信メールサーバー(SMTPサーバー)宛の通信を透過します。
追加 15
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 110 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
LAN側→WAN側方向の受信メールサーバー(POP3サーバー)宛の通信を透過します。
追加 16
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 443 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
LAN側→WAN側方向のSSL対応ホームページ宛の通信を透過します。
追加 17
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 20/21 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
LAN側FTPクライアント→WAN側FTPサーバー宛の以下の通信を透過します。
LAN側FTPクライアント→WAN側FTPサーバー宛 コントロールセッション
LAN側FTPクライアント→WAN側FTPサーバー宛 ポート(Port)モード データセッション
(追加18 データセッションに対する応答)
追加 18
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 20/21 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
WAN側FTPサーバー→LAN側FTPクライアント宛の以下の通信を透過します。
WAN側FTPサーバー→LAN側FTPクライアント宛 コントロールセッション
(追加17 コントロールセッションに対する応答)
WAN側FTPサーバー→LAN側FTPクライアント宛 ポート(Port)モード データセッション
追加 19
 Action PASS(透過)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 8080 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
LAN側→WAN側方向のProxyサーバー(ポート番号8080)宛の通信を透過します。
追加 20
 Action PASS(透過)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags ACK+
LAN側から開始された「TCPプロトコルを使用した通信」の応答(ACK及びSYN・ACK)を全て透過します。
このフィルタにより、追加13〜追加16、追加19の通信の応答を透過します。
追加 21
 Action PASS(透過)

 IN

lan

 OUT

own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 67/68 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
LAN側→NetGenesis(DHCPサーバー機能)方向の通信を透過します。
追加 22
 Action PASS(透過)

 IN

own_app

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 67/68 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
追加21の応答を透過します。
追加 23
 Action PASS(透過)

 IN

lan

 OUT

own_app
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. 80 AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
NetGenesisの設定画面の通信を透過します。
追加 24
 Action PASS(透過)

 IN

own_app

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 80 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : TCP Flags −(未設定)
追加23の応答を透過します。
追加 25
 Action PASS(透過)

 IN

own_app

 OUT

lan
 IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
 Port No.:  Src. 514 Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : UDP Flags −(未設定)
NetGenesisのSYSLOGをLAN側へ送信します。
 
- 備考 -
LAN側からのPING・TRACERTコマンドを透過したい場合、以下のテーブルを追加して下さい。

追加するフィルタ

目的
Action PASS(透過)

IN

 lan

OUT

 PPPoE1
IP/Mask : Src. −(空欄) Dst. −(空欄) AND/OR
Port No.: Src. −(空欄) Dst. −(空欄) AND/OR
DNS QTYPE: −(空欄)
Protocol : ICMP Flags −(未設定)
LAN側→WAN側方向のICMPプロトコルを透過します。
LAN側から実行されたPINGコマンドやTRACERTコマンドを透過します。
Action PASS(透過)

IN

 PPPoE1

OUT

 lan
IP/Mask : Src. −(空欄) Dst. −(空欄) AND/OR
Port No.: Src. −(空欄) Dst. −(空欄) AND/OR
DNS QTYPE: −(空欄)
Protocol : ICMP Flags −(未設定)
WAN側→LAN側方向のICMPプロトコルを透過します。
LAN側から実行されたPINGコマンドやTRACERTコマンドに対する応答を透過します。
Action PASS(透過)

IN

 lan

OUT

 own_app
IP/Mask : Src. −(空欄) Dst. −(空欄) AND/OR
Port No.: Src. −(空欄) Dst. −(空欄) AND/OR
DNS QTYPE: −(空欄)
Protocol : ICMP Flags −(未設定)
LAN側→NetGenesis方向のICMPプロトコルを透過します。
LAN側から実行されたNetGenesis宛のPINGコマンドやTRACERTコマンドを透過します。
Action PASS(透過)

IN

 own_app

OUT

 lan
IP/Mask : Src. −(空欄) Dst. −(空欄) AND/OR
Port No.: Src. −(空欄) Dst. −(空欄) AND/OR
DNS QTYPE: −(空欄)
Protocol : ICMP Flags −(未設定)
NetGenesis→LAN側方向のICMPプロトコルを透過します。
LAN側から実行されたNetGenesis宛のPINGコマンドやTRACERTコマンドに対する応答を透過します。

また、上記のフィルタは、以下のフィルタで1つにまとめることができます。
Action PASS(透過)

 IN  

 any

 OUT  

 any
IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
DNS QTYPE: −(空欄)
Protocol : ICMP Flags −(未設定)

Copyright © 株式会社マイクロリサーチ All rights reserved.