<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR415S 設定例集 2.9 #190

NATループバック


LAN内に立てた公開用Webサーバーに対しLAN側のPCからアクセスする際、サーバーのプライベートアドレスではなく公開用のグローバルアドレスを使用してサーバーへアクセスさせるための設定例です。一般的にはNATループバックやヘアピンNATと呼ばれている構成です。

本設定例では、固定のグローバルアドレス1個にて構築した例となっていますが、複数グローバルアドレスを取得した場合でも同様にご利用いただけます。
ISPからは次の情報を提供されているものとします。

表 1:ISPから提供された情報
PPPユーザー名 user@isp
PPPパスワード isppasswd
PPPoEサービス名 指定なし
IPアドレス 1.1.1.1/32(固定)
DNSサーバー 1.1.1.254、1.1.1.253

ルーターには、次のような方針で設定を行います。

表 2:ファイアウォールポリシー
インターフェース POLICY=lan POLICY=server
ppp0 PUBLIC PUBLIC
vlan20(サーバー側) PUBLIC PRIVATE
vlan10(クライアント側) PRIVATE PUBLIC





以下、ルーターの基本設定についてまとめます。

表 3:ルーターの基本設定
WAN側物理インターフェース eth0
WAN側(ppp0)IPアドレス 1.1.1.1/32(固定)
LAN側クライアントネットワーク(vlan10)IPアドレス 192.168.1.1/24
LAN側サーバーネットワーク(vlan20)IPアドレス 172.16.0.1/24



ルーターの設定


  1. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。


  2. ISPから通知されたPPPユーザー名とパスワードを指定し、接続時にIPアドレス割り当ての要求を行うように設定します。LQRはオフにし、代わりにLCP Echoパケットを使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。


  3. クライアント側インターフェース用にvlan10(VID=10)を作成します。


  4. vlan10にクライアント側のLANポート1、2を追加します。


  5. サーバー側インターフェース用にvlan20(VID=20)を作成します。


  6. vlan20にサーバー側のLANポート3、4を追加します。


  7. IPモジュールを有効にします。


  8. クライアント側(vlan10)インターフェースにIPアドレスを設定します。


  9. サーバー側(vlan20)インターフェースにIPアドレスを設定します。


  10. WAN側(ppp0)インターフェースにISPから割り当てられたIPアドレスを設定します。


  11. デフォルトルートを設定します。


  12. ISPから通知されたDNSサーバーのアドレスを設定します。


  13. DNSリレー機能を有効にします。


  14. ファイアウォール機能を有効にします。


  15. ファイアウォールの動作を規定するファイアウォールポリシー「lan」を作成します。


  16. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。


    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

  17. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。


  18. ファイアウォールポリシーの適用対象となるインターフェースを指定します。


  19. クライアント側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。


  20. ファイアウォールの動作を規定するファイアウォールポリシー「server」を作成します。


  21. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。


    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

  22. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。


  23. ファイアウォールポリシーの適用対象となるインターフェースを指定します。

  24. サーバー側ネットワークに接続されているすべてのサーバーがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0のIPアドレスを使用します。


  25. ルーターのWAN側のインターフェース(ppp0)の80番ポート宛に送られたTCPパケットを、サーバー側ネットワークのWebサーバー(172.16.0.10)に転送するスタティックENATの設定を行います。


  26. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


メモ

■ クライアントからサーバーのグローバルアドレス宛の通信に関する補足説明

受信インターフェースに複数のファイアウォールポリシーが設定されている場合、設定されている全てのポリシーが適用されます。本設定例の場合も、vlan10インターフェースにはPOLICY=lanとpolicy=serverが設定されていますので、vlan10でクライアントからのリクエストを受信すると、POLICY=lanとPOLICY=serverの両方のポリシーが適用されます。

例えば、本設定例の構成でクライアントからサーバーにアクセスする場合、クライアントからWebサーバー(1.1.1.1)宛てのパケットがvlan10で受信されると、POLICY=lanが適用された結果、ENATされます。また、POLICY=serverも適用されますが、このポリシー上ではPUBLIC→PUBLIC方向の通信となるため、何も行われずに通過します。

さらに、ppp0で受信したWebサーバー宛のパケットはPOLICY=lan上ではPUBLIC→PUBLIC方向の通信となり、何も行われずに通過します。また、POLICY=serverも適用されるため、ALLOWのルールが有効となり、宛先を172.16.0.10に変換してサーバーに送出します。

サーバーからの戻りのパケットは、リクエストパケットの送信時に作成されたFirewallセッション情報を元にクライアントへ戻されるため、通信が可能となります。

■ 各コマンドのGBLIPパラメーターには、ADD IP INTERFACEコマンドで設定されているIPアドレスを指定してください。ADD IP INTERFACEコマンドで設定されていないIPアドレスを指定してもエラーになりませんが正常に動作しません。

まとめ

ルーターのコンフィグ [テキスト版]
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=ON USER=user@isp PASSWORD=isppasswd LQR=OFF ECHO=ON
CREATE VLAN=vlan10 VID=10
ADD VLAN=10 PORT=1-2
CREATE VLAN=vlan20 VID=20
ADD VLAN=20 PORT=3-4
ENABLE IP
ADD IP INT=vlan10 IP=192.168.1.1 MASK=255.255.255.0
ADD IP INT=vlan20 IP=172.16.0.1 MASK=255.255.255.0
ADD IP INT=ppp0 IP=1.1.1.1 MASK=255.255.255.255
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0
ADD IP DNS PRIMARY=1.1.1.254 SECONDARY=1.1.1.253
ENABLE IP DNSRELAY
ENABLE FIREWALL
CREATE FIREWALL POLICY=lan
ENABLE FIREWALL POLICY=lan ICMP_F=PING,UNREACH
DISABLE FIREWALL POLICY=lan IDENTPROXY
ADD FIREWALL POLICY=lan INT=vlan10 TYPE=PRIVATE
ADD FIREWALL POLICY=lan INT=vlan20 TYPE=PUBLIC
ADD FIREWALL POLICY=lan INT=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=lan NAT=ENHANCED INT=vlan10 GBLINT=ppp0
CREATE FIREWALL POLICY=server
ENABLE FIREWALL POLICY=server ICMP_F=PING,UNREACH
DISABLE FIREWALL POLICY=server IDENTPROXY
ADD FIREWALL POLICY=server INT=vlan10 TYPE=PUBLIC
ADD FIREWALL POLICY=server INT=vlan20 TYPE=PRIVATE
ADD FIREWALL POLICY=server INT=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=server NAT=ENHANCED INT=vlan20 GBLINT=ppp0
ADD FIREWALL POLICY=server RULE=1 AC=ALLOW INT=ppp0 PROTO=TCP GBLIP=1.1.1.1 GBLPORT=80 IP=172.16.0.10 PORT=80





CentreCOM AR415S 設定例集 2.9 #190

(C) 2006-2013 アライドテレシスホールディングス株式会社

PN: 613-000668 Rev.L

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)