WANポート2をDMZポートとして使用する
NetGenesis GigaLink2000のWANポートをDMZポートとして使用することにより、セキュアなネットワーク環境を構築します。
以下の環境を例に設定方法を説明します。
DMZ1
設定内容・目的
  • ・WANポート1はPPPoE接続 IPアドレス自動取得で設定してインターネット接続に使用する。
  • ・WANポート2はローカルルータ接続で設定してDMZポートとして使用する。
  • ・WANポート2(DMZ)にWWWサーバーを設置する。
  • ・LANとWANポート1(インターネット側)からDMZへのWWW(http)接続は許可する。
  • ・DMZへのWWW(http)以外の通信は全て遮断する。

本設定例での注意事項
DMZはNetGenesis GigaLink2000のWANポート2に接続するため、複数のサーバーを設置する場合は別途HUBを用意する必要があります。

設定手順は以下の5ステップになります。
 ステップ1:WANポート1のPPPoE接続設定を行う
 ステップ2:WANポート2のローカルルータ接続設定を行う
 ステップ3:スタティックルーティング設定を行う
 ステップ4:IPマスカレードテーブル設定を行う
 ステップ5:ファイアウォール設定を行う
 補足:WWWサーバーのTCP/IP設定について
 
ステップ1: WANポート1のPPPoE接続設定を行う
WANポート1(PPPoEセッション1)にインターネットへ接続するための設定を行います。
(WANポート1の接続設定が既に完了している場合は、ステップ2 に進んで下さい。)
メモ) ・プロバイダから提供された設定資料を用意して下さい。
・PPPoE IPアドレス自動取得以外の接続方法については、ユーザーズマニュアルを参照して下さい。
 NetGenesis GigaLink2000ユーザーズマニュアル第2版
  1.  1. WWWブラウザを起動し、アドレス入力欄にNetGenesisのLANポートIPアドレス(工場出荷値:192.168.0.1)を入力して、Enterキーを押して下さい。
     

     2. ユーザー認証画面が表示されますので、ユーザー名、パスワード(工場出荷値:ユーザー名「admin」、パスワード無し)を入力して「OK」ボタンをクリックして下さい。
    「NetGenesisの設定」画面(トップ画面)が表示されます。
     

     3. 「WANポートの設定」から「WANポート1 動作モード・帯域制限設定」をクリックして下さい。
     

     4. 「PPPoEクライアント」枠の中の「IPアドレス自動取得 / IPアドレス固定...」を選択して、画面下の[詳細設定]ボタンをクリックして下さい。
     

     5. 「PPPoE ポート1(セッション1) を使用する」にチェックを入れ、「IPアドレス自動取得」を選択して下さい。
    「使用するWANポート」で「WANポート1」を選択して、[セッション1 詳細設定]ボタンをクリックして下さい。
     

     6. 「PPPoEクライアント設定」画面が開きます。
    プロバイダの設定資料を参照して、接続情報(アカウント)の設定を行って下さい。
    その他の設定項目は必要に応じて設定して下さい。
    その他の設定項目については、ユーザーズマニュアルの「4-3.PPPoE ポート1(セッション1) IPアドレス自動取得設定」を参考にして下さい。
     

     7. 設定が終わりましたら、[設定]ボタン(画面下)をクリックして下さい。
     

     8. 「PPPoE セッション1の詳細設定」画面の先頭へ戻りますので、[PPPoE 動作モード設定] へ戻るリンクをクリックして下さい。
     

     9. 「PPPoE動作モード設定」画面に戻りますので、[PPPoE動作モード適用]ボタンをクリックして下さい。
     

以上で「ステップ1:WANポート1のPPPoE接続設定を行う」は完了です。
ステップ2:WANポート2のローカルルータ接続設定を行う へ進んで下さい。
 
ステップ2: WANポート2のローカルルータ接続設定を行う
WANポート2にDMZを接続するためのローカルルータ接続設定を行います。
  1.  1. 「WANポートの設定」から「WANポート2 動作モード設定」をクリックして下さい。
     

     2. 「IPアドレス固定」枠の中の「ローカルルータ」を選択して、画面下の[詳細設定]ボタンをクリックして下さい。
     

     3. WANポート2の「ローカルルータ設定」画面が表示されますので、 以下の内容を設定して下さい。
    IPアドレス/サブネット 192.168.1.1/24
    デフォルトゲートウェイ 空欄
    プライマリDNS〜フォースDNS 空欄
    「WANポート2のMTU/MRUの設定」は必要に応じて設定して下さい。
    「WANポート2のMTU/MRUの設定」については、ユーザーズマニュアルの「WANポートのMTU/MRUの設定」を参考にして下さい。
     

     4. 設定が終わりましたら、[設定]ボタン(画面下)をクリックして下さい。
     

以上で「ステップ2:WANポート2のローカルルータ接続設定を行う」は完了です。
ステップ3:スタティックルーティング設定を行う へ進んで下さい。
 
ステップ3: スタティックルーティング設定を行う
スタティックルーティング設定を行います。
  1.  1. 「ルーティングの設定」から「スタティックルーティング設定」をクリックして下さい。
     

     2. 「PPPoE ポート1(セッション1)」欄の「PPPoEポート1(セッション1)をデフォルトゲートウェイに設定する」にチェックを入れて下さい。
    その他の「デフォルトゲートウェイに設定する」のチェックは外して下さい。
     

     3. 設定が終わりましたら、[設定]ボタン(画面下)をクリックして下さい。
     

以上で「ステップ3:スタティックルーティング設定を行う」は完了です。
ステップ4:IPマスカレードテーブル設定を行う へ進んで下さい。
 
ステップ4: IPマスカレードテーブル設定を行う
DMZのWWWサーバーをインターネットへ公開するためのIPマスカレードテーブル設定を行います。
メモ) IPマスカレードテーブル設定の詳細については、ユーザーズマニュアルを参照して下さい。
 NetGenesis GigaLink2000ユーザーズマニュアル第2版
  1.  1. 「WANポートの設定」から「IPマスカレードテーブル設定」をクリックして下さい。
       
     2. 「PPPoE ポート1(セッション1)登録リスト」欄に以下の内容を追加して下さい。
    プトロコル TCP
    先頭ポート番号 80
    終了ポート番号 80
    変換IPアドレス 192.168.1.100 (DMZに設置するWWWサーバーのIPアドレス)
     

     3. 設定が終わりましたら、[設定]ボタン(画面下)をクリックして下さい。
     

以上で「ステップ4:IPマスカレードテーブル設定を行う」は完了です。
ステップ5:ファイアウォール設定を行う へ進んで下さい。
 
ステップ5: ファイアウォール設定を行う
DMZ(WANポート2)への通信を制限するためのファイアウォール設定を行います。
メモ) ファイアウォール設定の詳細については、ユーザーズマニュアルを参照して下さい。
 NetGenesis GigaLink2000ユーザーズマニュアル第2版
  1.  1. 「LANポートの設定」から「ファイアウォール設定」をクリックして下さい。
       
     2. 「IPフレームの処理ポリシー」で「設定されていないIPフレームは透過する」を選択して下さい。
     

     3. 「登録リスト」に 以下の各内容を追加して下さい。
     

    追加するフィルタ

    目的
    追加 1
     Action PASS(透過)

     IN

    		PPPoE1

     OUT

    		wan2
     IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
     Port No.:  Src. −(空欄) Dst. 80 AND/OR
     DNS QTYPE: −(空欄)
     Protocol : TCP Flags −(未設定)
    		PPPoE1(インターネット)→WAN2(DMZ)方向のhttp通信(TCP80)を透過します。
    追加 2
     Action PASS(透過)

     IN

    		wan2

     OUT

    		PPPoE1
     IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
     Port No.:  Src. 80 Dst. −(空欄) AND/OR
     DNS QTYPE: −(空欄)
     Protocol : TCP Flags +ack
    		追加1の応答を透過します。
    追加 3
     Action PASS(透過)

     IN

    		lan

     OUT

    		wan2
     IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
     Port No.:  Src. −(空欄) Dst. 80 AND/OR
     DNS QTYPE: −(空欄)
     Protocol : TCP Flags −(未設定)
    		LAN→WAN2(DMZ)方向のhttp通信(TCP80)を透過します。
    追加 4
     Action PASS(透過)

     IN

    		wan2

     OUT

    		lan
     IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
     Port No.:  Src. 80 Dst. −(空欄) AND/OR
     DNS QTYPE: −(空欄)
     Protocol : TCP Flags +ack
    		追加3の応答を透過します。
    追加5
     Action CUT(遮断)

     IN

    		PPPoE1

     OUT

    		wan2
     IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
     Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
     DNS QTYPE: −(空欄)
     Protocol : any Flags −(未設定)
    		PPPoE1(インターネット)→WAN2(DMZ)方向の通信を全て遮断します。
    ただし、追加1によりTCP80(http)だけ透過されます。
    追加6
     Action CUT(遮断)

     IN

    		lan

     OUT

    		wan2
     IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
     Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
     DNS QTYPE: −(空欄)
     Protocol : any Flags −(未設定)
    		LAN→WAN2(DMZ)方向の通信を全て遮断します。
    ただし、追加3によりTCP80(http)だけ透過されます。
    追加7
     Action CUT(遮断)

     IN

    		wan2

     OUT

    		any
     IP/Mask :  Src. −(空欄) Dst. −(空欄) AND/OR
     Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
     DNS QTYPE: −(空欄)
     Protocol : any Flags −(未設定)
    		WAN2(DMZ)→全方向の通信を全て遮断します。
    ただし、追加2、追加4によりTCP80(http)の応答だけ透過されます。
     
     4. 設定が終わりましたら、[設定]ボタン(画面下)をクリックして下さい。
     

以上で全ての設定は完了です。
左のメニューの  設定の更新  をクリックして下さい。
"設定の更新" と "NetGenesisの再起動" を行って下さい。
 
補足: WWWサーバーのTCP/IP設定について
本環境例の場合、DMZに設置するWWWサーバーのTCP/IP設定は以下のように設定して下さい。
 チェック!
NetGenesisのDHCPサーバー機能は、WANポート側では動作しません。
WANポート2(DMZ)側に設置する端末はIPアドレスを固定して運用して下さい。
−WWWサーバーのTCP/IP設定−
IPアドレス サブネットマスク ゲートウェイ ネームサーバー
(DNS)		 備 考
192.168.1.100 255.255.255.0

192.168.1.1

 192.168.0.1  ・ゲートウェイはWANポート2に設定したIPアドレスを指定して下さい。
 ・ネームサーバーはNetGenesisのLANポートIPアドレスを指定して下さい
 チェック!
本環境例の場合、 WANポート2(DMZ)側に設置された端末は、ステップ5で設定したファイアウォールにより、外部との通信はhttp(TCP80)以外全て遮断されます。

Copyright © 株式会社マイクロリサーチ All rights reserved.