<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR415S 設定例集 2.9 #54

Ethernet上でのファイアウォール・スタティックNAT


Ethernet上でファイアウォールのスタティックNAT機能を使用する場合の注意点について説明します。この例では、既設のxDSLモデムルーター(ルーター機能付きモデム)の背後にファイアウォール兼NATボックスとして本製品を導入する環境を想定しています。インターネットサービスプロバイダー(ISP)からは、複数のグローバルIPアドレスをブロック単位で固定的に割り当てられているものとします。ダイナミックENATで本製品のLAN側クライアントがインターネットにアクセスできるようにし、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側に置かれたサーバー(プライベートアドレスで運用)を、スタティックNATで外部に公開します。

ここでは、次のような方針で設定を行います。


以下、ルーターの基本設定についてまとめます。

表 1:ルーターの基本設定
WAN側(eth0)IPアドレス 4.4.4.1/29
LAN側(vlan1)IPアドレス 192.168.10.1/24
デフォルトゲートウェイ 4.4.4.6(モデムルーター)



ルーターの設定

  1. IPモジュールを有効にします。


  2. WAN側(eth0)インターフェースにISPから割り当てられたグローバルアドレスのうちの1つを設定します。


  3. LAN側(vlan1)インターフェースにプライベートIPアドレスを設定します。


  4. デフォルトルートを設定します。ISPとの接続に使用しているxDSLモデムルーターがゲートウェイになります。


  5. ファイアウォール機能を有効にします。


  6. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。


  7. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。


    Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

  8. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。


  9. ファイアウォールポリシーの適用対象となるインターフェースを指定します。


  10. LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、WAN側(eth0)インターフェースのIPアドレスを使用します。


  11. 外部からのパケットをすべて拒否するファイアウォールの基本ルールに対し、サーバーへのパケットを通すための設定を行います。
    ファイアウォールルールNATを使用し、NAT後のグローバルアドレス(GBLIP、GBLPORT)とNAT前のプライベートアドレス(IP、PORT)の両方を指定します。

    Note - GBLIPで指定したIPへのARPリクエストに応答します。


  12. LAN側サーバー(192.168.10.2〜192.168.10.4)からのパケットにNATが適用されるように、LAN側インターフェース(vlan1)にファイアウォールルールNATを設定します。


  13. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


メモ

■ ファイアウォールで遮断されたパケットのログをとるには、次のコマンドを実行します。


記録されたログを見るには、次のコマンドを実行します。ここでは、「TYPE=FIRE」により、ファイアウォールが出力したログメッセージだけを表示させています。

まとめ

ルーターのコンフィグ [テキスト版]
ENABLE IP
ADD IP INT=eth0 IP=4.4.4.1 MASK=255.255.255.248
ADD IP INT=vlan1 IP=192.168.10.1 MASK=255.255.255.0
ADD IP ROUTE=0.0.0.0 INT=eth0 NEXT=4.4.4.6
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INT=eth0 TYPE=PUBLIC
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=eth0
ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=STANDARD INT=eth0 PROTO=TCP GBLIP=4.4.4.2 GBLPORT=80 IP=192.168.10.2 PORT=80
ADD FIREWALL POLICY=net RULE=2 AC=NAT NATTYPE=STANDARD INT=eth0 PROTO=TCP GBLIP=4.4.4.3 GBLPORT=25 IP=192.168.10.3 PORT=25
ADD FIREWALL POLICY=net RULE=3 AC=NAT NATTYPE=STANDARD INT=eth0 PROTO=TCP GBLIP=4.4.4.4 GBLPORT=53 IP=192.168.10.4 PORT=53
ADD FIREWALL POLICY=net RULE=4 AC=NAT NATTYPE=STANDARD INT=eth0 PROTO=UDP GBLIP=4.4.4.4 GBLPORT=53 IP=192.168.10.4 PORT=53
ADD FIREWALL POLICY=net RULE=5 AC=NAT NATTYPE=STANDARD INT=vlan1 PROTO=TCP GBLIP=4.4.4.2 GBLPORT=80 IP=192.168.10.2 PORT=80
ADD FIREWALL POLICY=net RULE=6 AC=NAT NATTYPE=STANDARD INT=vlan1 PROTO=TCP GBLIP=4.4.4.3 GBLPORT=25 IP=192.168.10.3 PORT=25
ADD FIREWALL POLICY=net RULE=7 AC=NAT NATTYPE=STANDARD INT=vlan1 PROTO=TCP GBLIP=4.4.4.4 GBLPORT=53 IP=192.168.10.4 PORT=53
ADD FIREWALL POLICY=net RULE=8 AC=NAT NATTYPE=STANDARD INT=vlan1 PROTO=UDP GBLIP=4.4.4.4 GBLPORT=53 IP=192.168.10.4 PORT=53





CentreCOM AR415S 設定例集 2.9 #54

(C) 2006-2013 アライドテレシスホールディングス株式会社

PN: 613-000668 Rev.L

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)