IPアドレススプーフィング（なりすまし）対策

セキュリティポリシー

NetGenesisを使用してインターネットへ接続している場合、WAN側からLAN側（NetGenesis）へ送られてくるIPフレームの「送信元IPアドレス」が「プライベートIPアドレス（※）」ということは通常ありえません。
よって、このようなIPフレームは「不正なIPフレーム」と判断されます。
また、LAN側からWAN側へ送られたIPフレームの「宛先IPアドレス」が「プライベートIPアドレス（※）」ということもありえませんので、「不正なIPフレーム」と判断されます。

※	ここでいう「プライベートIPアドレス」とは、NetGenesisのLAN内のIPアドレスも含まれます。

これら不正なIPフレームを遮断し、IPアドレススプーフィング（なりすまし）を防止します。

以下、プロバイダからグローバルIPアドレスxxx.xxx.xxx.200 ～ xxx.xxx.xxx.207（/29・8個）を取得していると仮定します。
　

■「ファイアウォール設定」画面で「設定されていないIPフレームは透過する」を選択して下さい。

■本設定例は、NetGenesisの動作モード設定（WANポートの設定）のPPPoE1を「PPPoEクライアント・IPアドレス自動取得」または「IPアドレス固定（1～16個）」に設定した場合の設定例です。
「DHCPクライアント（IPアドレス自動取得）に設定した場合や、「IPアドレス固定・IPアドレス固定（1～16個）」に設定した場合は、以降のファイアウォール設定例中の「PPPoE1」を「wan」と置き換えて設定して下さい。

追加するフィルタ

目的

追加 1
Action	CUT（遮断）			IN	PPPoE1		OUT	lan
IP/Mask ：	Src．	10.0.0.0/8	Dst．			－（空欄）			AND/OR	－
Port No．：	Src．	－（空欄）	Dst．			－（空欄）			AND/OR	－
DNS QTYPE：	－（空欄）
Protocol ：	any		Flags			－（未設定）

WAN側→LAN側方向の通信で、発信元IPアドレスがクラスAのプライベートIPアドレスの通信は遮断します。

追加 2
Action	CUT（遮断）			IN	PPPoE1		OUT	lan
IP/Mask ：	Src．	172.16.0.0/12	Dst．			－（空欄）			AND/OR	－
Port No．：	Src．	－（空欄）	Dst．			－（空欄）			AND/OR	－
DNS QTYPE：	－（空欄）
Protocol ：	any		Flags			－（未設定）

WAN側→LAN側方向の通信で、発信元IPアドレスがクラスBのプライベートIPアドレスの通信は遮断します。

追加 3
Action	CUT（遮断）			IN	PPPoE1		OUT	lan
IP/Mask ：	Src．	192.168.0.0/16	Dst．			－（空欄）			AND/OR	－
Port No．：	Src．	－（空欄）	Dst．			－（空欄）			AND/OR	－
DNS QTYPE：	－（空欄）
Protocol ：	any		Flags			－（未設定）

WAN側→LAN側方向の通信で、発信元IPアドレスがクラスCのプライベートIPアドレスの通信は遮断します。

追加 4
Action	CUT（遮断）			IN	lan		OUT	PPPoE1
IP/Mask ：	Src．	－（空欄）	Dst．			10.0.0.0/8			AND/OR	－
Port No．：	Src．	－（空欄）	Dst．			－（空欄）			AND/OR	－
DNS QTYPE：	－（空欄）
Protocol ：	any		Flags			－（未設定）

LAN側→WAN側方向の通信で、宛先IPアドレスがクラスAのプライベートIPアドレスの通信は遮断します。

追加 5
Action	CUT（遮断）			IN	lan		OUT	PPPoE1
IP/Mask ：	Src．	－（空欄）	Dst．			172.16.0.0/12			AND/OR	－
Port No．：	Src．	－（空欄）	Dst．			－（空欄）			AND/OR	－
DNS QTYPE：	－（空欄）
Protocol ：	any		Flags			－（未設定）

LAN側→WAN側方向の通信で、宛先IPアドレスがクラスBのプライベートIPアドレスの通信は遮断します。

追加 6
Action	CUT（遮断）			IN	lan		OUT	PPPoE1
IP/Mask ：	Src．	－（空欄）	Dst．			192.168.0.0/16			AND/OR	－
Port No．：	Src．	－（空欄）	Dst．			－（空欄）			AND/OR	－
DNS QTYPE：	－（空欄）
Protocol ：	any		Flags			－（未設定）

LAN側→WAN側方向の通信で、宛先IPアドレスがクラスCのプライベートIPアドレスの通信は遮断します。

追加 7
Action	CUT（遮断）			IN	PPPoE1		OUT	lan
IP/Mask ：	Src．	xxx.xxx.xxx.200/29	Dst．			－（空欄）			AND/OR	－
Port No．：	Src．	－（空欄）	Dst．			－（空欄）			AND/OR	－
DNS QTYPE：	－（空欄）
Protocol ：	any		Flags			－（未設定）

WAN側→LAN側方向の通信で、発信元IPアドレスがプロバイダから取得したグローバルIPアドレスの通信は遮断します。

追加 8
Action	CUT（遮断）			IN	lan		OUT	PPPoE1
IP/Mask ：	Src．	－（空欄）	Dst．			xxx.xxx.xxx.200/29			AND/OR	－
Port No．：	Src．	－（空欄）	Dst．			－（空欄）			AND/OR	－
DNS QTYPE：	－（空欄）
Protocol ：	any		Flags			－（未設定）

LAN側→WAN側方向の通信で、宛先IPアドレスがプロバイダから取得したグローバルIPアドレスの通信は遮断します。