＜前頁 次頁＞ ＜＜ ＞＞ ↓ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）

Ethernet上でのファイアウォール・スタティックNAT

Ethernet上でファイアウォールのスタティックNAT機能を使用する場合の注意点について説明します。この例では、既設のxDSLモデムルーター（ルーター機能付きモデム）の背後にファイアウォール兼NATボックスとして本製品を導入する環境を想定しています。インターネットサービスプロバイダー（ISP）からは、複数のグローバルIPアドレスをブロック単位で固定的に割り当てられているものとします。ダイナミックENATで本製品のLAN側クライアントがインターネットにアクセスできるようにし、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側に置かれたサーバー（プライベートアドレスで運用）を、スタティックNATで外部に公開します。

• ISPからはアドレスブロック4.4.4.0/29（4.4.4.0〜4.4.4.7）を固定的に割り当てられています。アドレスは8個ですが、4.4.4.0（ネットワークアドレス）と4.4.4.7（ブロードキャストアドレス）は使用できないため、端末に設定できるアドレスは4.4.4.1〜4.4.4.6の6個となります。このうち、4.4.4.6はすでにxDSLモデムルーターのLAN側（内側）インターフェースに割り当てられています。
  
  
• ISPとはxDSLモデムルーターによって接続されています。モデムルーターではアドレス変換やパケットフィルタリングを行わず、モデムルーターのLAN側セグメントに接続した本製品でファイアウォールを動作させ、ここでアクセス制御を行うものとします。
  
  
• 本製品のWAN側（eth1）インターフェースには4.4.4.1を割り当てます。これで残るアドレスは4.4.4.2〜4.4.4.5の4個となります。これらのアドレスはサーバー用に使いますが、直接サーバーに割り当てることはせずに、スタティックNATを介して使用します。
  
  
• 本製品のLAN側（eth0）インターフェースにはプライベートアドレス192.168.10.1を割り当て、クライアントはすべてプライベートアドレスで運用します。
  
  
• サーバーにもプライベートアドレスを設定し、本製品のLAN側セグメントに配置します。サーバーはモデムルーター・本製品のあるセグメントに置くこともできますが、ファイアウォールで保護したいため、本製品の内側に配置しています。また、外部からアクセスさせるため、スタティックNATを使って外からはグローバルアドレスを持っているように見せかけます。変換ルールは次のとおりとします。
  
  
  • Webサーバー：192.168.10.2 → 4.4.4.2
    
  • SMTPサーバー：192.168.10.3 → 4.4.4.3
    
  • DNSサーバー：192.168.10.4 → 4.4.4.4
    
  
  
• 本製品のファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
  
  
• ファイアウォールのダイナミックENAT機能を使用して、LAN側ネットワークのプライベートIPアドレスを、ISPから与えられたグローバルIPアドレスのうちの1つに変換します。これにより、LANに接続された複数のコンピューターからインターネットへの同時アクセスが可能になります。
  

表 1：ルーターの基本設定

WAN側（eth1）IPアドレス	4.4.4.1/29
LAN側（eth0）IPアドレス	192.168.10.1/24
デフォルトゲートウェイ	4.4.4.6（モデムルーター）

ルーターの設定

1. IPモジュールを有効にします。
   
   ENABLE IP ↓
   
   
2. WAN側（eth1）インターフェースにISPから割り当てられたグローバルアドレスのうちの1つを設定します。
   
   ADD IP INT=eth1-0 IP=4.4.4.1 MASK=255.255.255.248 ↓
   
   
3. WAN側（eth1）インターフェースをマルチホーミングし、サーバー用のスタティックNATアドレスを32ビットマスクで設定します。これは、WAN側Ethernetセグメントにおける、サーバーへのARP要求に応答するために必要な設定です。EthernetインターフェースでファイアウォールのスタティックNATを使う場合は、このような設定が必須です（PPPインターフェースの場合は必要ありません）。
   
   ADD IP INT=eth1-1 IP=4.4.4.2 MASK=255.255.255.255 ↓
ADD IP INT=eth1-2 IP=4.4.4.3 MASK=255.255.255.255 ↓
ADD IP INT=eth1-3 IP=4.4.4.4 MASK=255.255.255.255 ↓

   
   

   Note - マルチホーミングにおいて、単にeth1と書いた場合はeth1-0と同じ意味になります。

   
   
4. LAN側（eth0）インターフェースにプライベートIPアドレスを設定します。
   
   ADD IP INT=eth0 IP=192.168.10.1 MASK=255.255.255.0 ↓
   
   
5. デフォルトルートを設定します。ISPとの接続に使用しているxDSLモデムルーターがゲートウェイになります。
   
   ADD IP ROUTE=0.0.0.0 INT=eth1-0 NEXT=4.4.4.6 ↓
   
   
6. ファイアウォール機能を有効にします。
   
   ENABLE FIREWALL ↓
   
   
7. ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
   
   CREATE FIREWALL POLICY=net ↓
   
   
8. ICMPパケットはPing（Echo/Echo Reply）と到達不可能（Unreachable）のみ双方向で許可します。
   
   ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
   
   

   Note - デフォルト設定では、ICMPはファイアウォールを通過できません。

   
   
9. ルーターのidentプロキシー機能を無効にし、外部のメール（SMTP）サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
   
   DISABLE FIREWALL POLICY=net IDENTPROXY ↓
   
   
10. ファイアウォールポリシーの適用対象となるインターフェースを指定します。NAT用インターフェースも忘れずに追加してください。
    
    
    • LAN側（eth0）インターフェースをPRIVATE（内部）に設定します。
      
      ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ↓
      
      
    • WAN側（eth1-0）インターフェースをPUBLIC（外部）に設定します。
      
      ADD FIREWALL POLICY=net INT=eth1-0 TYPE=PUBLIC ↓
      
      
    • WAN側NAT用インターフェース（eth1-1、eth1-2、eth1-3）をPUBLIC（外部）に設定します。
      
      ADD FIREWALL POLICY=net INT=eth1-1 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net INT=eth1-2 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net INT=eth1-3 TYPE=PUBLIC ↓


    
    
11. LAN側ネットワークに接続されているサーバーを外部に公開するため、スタティックNATの変換ルールを設定します。アドレス変換は、GBLINTで指定したインターフェースで行われます。このことが、後ほど設定するポリシーフィルターが必要な理由になります。
    
    
    • Webサーバー（192.168.10.2）を、外部からは4.4.4.2であるかのように見せかけます。
      
      ADD FIREWALL POLICY=net NAT=STANDARD INT=eth0 IP=192.168.10.2 GBLINT=eth1-1 GBLIP=4.4.4.2 ↓
      
      
    • SMTPサーバー（192.168.10.3）を、外部からは4.4.4.3であるかのように見せかけます。
      
      ADD FIREWALL POLICY=net NAT=STANDARD INT=eth0 IP=192.168.10.3 GBLINT=eth1-2 GBLIP=4.4.4.3 ↓
      
      
    • DNSサーバー（192.168.10.4）を、外部からは4.4.4.4であるかのように見せかけます。
      
      ADD FIREWALL POLICY=net NAT=STANDARD INT=eth0 IP=192.168.10.4 GBLINT=eth1-3 GBLIP=4.4.4.4 ↓

    
    
12. LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、WAN側（eth1-0）インターフェースのIPアドレスを使用します。
    
    ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0 GBLINT=eth1-0 ↓
    
    
13. 外部からのパケットをすべて拒否するファイアウォールの基本ルールに対し、サーバーへのパケットを通すための設定を行います。
    
    
    • Webサーバー（4.4.4.2のTCP80番）へのパケットは通過させます。スタティックNATを使用しているため、NAT後のグローバルアドレス（GBLIP、GBLPORT）とNAT前のプライベートアドレス（IP、PORT）の両方を指定します。
      
      ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=eth1-1 PROTO=TCP GBLIP=4.4.4.2 GBLPORT=80 IP=192.168.10.2 PORT=80 ↓
      
      
    • SMTPサーバー（4.4.4.3のTCP25番）へのパケットは通過させます。
      
      ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=eth1-2 PROTO=TCP GBLIP=4.4.4.3 GBLPORT=25 IP=192.168.10.3 PORT=25 ↓
      
      
    • DNSサーバー（4.4.4.4のTCP、UDP53番）へのパケットは通過させます。
      
      ADD FIREWALL POLICY=net RULE=3 AC=ALLOW INT=eth1-3 PROTO=TCP GBLIP=4.4.4.4 GBLPORT=53 IP=192.168.10.4 PORT=53 ↓
ADD FIREWALL POLICY=net RULE=4 AC=ALLOW INT=eth1-3 PROTO=UDP GBLIP=4.4.4.4 GBLPORT=53 IP=192.168.10.4 PORT=53 ↓


    
    
14. LAN側サーバー（192.168.10.3〜192.168.10.5）からのパケットが、それぞれのスタティックNAT用インターフェース（eth1-1、eth1-2、eth1-3）にルーティングされるよう、ポリシーフィルター「100」を設定します。ポリシーフィルターのフィルター番号は100〜199です。
    
    
    • Webサーバー（192.168.10.2）からのパケットに経路選択ポリシー値「2」を適用します。
      
      ADD IP FILTER=100 SOURCE=192.168.10.2 SMASK=255.255.255.255 POLICY=2 ↓
      
      
    • SMTPサーバー（192.168.10.3）からのパケットに経路選択ポリシー値「3」を適用します。
      
      ADD IP FILTER=100 SOURCE=192.168.10.3 SMASK=255.255.255.255 POLICY=3 ↓
      
      
    • DNSサーバー（192.168.10.4）からのパケットに経路選択ポリシー値「4」を適用します。
      
      ADD IP FILTER=100 SOURCE=192.168.10.4 SMASK=255.255.255.255 POLICY=4 ↓

    
    
15. ポリシーフィルター「100」をLAN側（eth0）インターフェースに適用します。
    
    SET IP INT=eth0 POLICYFILTER=100 ↓
    
    
16. ポリシーフィルターによって設定されたポリシー値に基づいてルーティングが行われるよう、デフォルトルートの経路エントリーを追加します。
    
    
    • 経路選択ポリシー「2」を持つパケット（Webサーバーからのパケット）のデフォルトルートをeth1-1に向けます。これにより、Webサーバーからのパケットはeth1-1に転送され、同インターフェースをGBLINTとするスタティックNATルールが適用されます。
      
      ADD IP ROUTE=0.0.0.0 INT=eth1-1 NEXT=4.4.4.6 POLICY=2 ↓
      
      
    • 経路選択ポリシー「3」を持つパケット（SMTPサーバーからのパケット）のデフォルトルートをeth1-2に向けます。これにより、SMTPサーバーからのパケットはeth1-2に転送され、同インターフェースをGBLINTとするスタティックNATルールが適用されます。
      
      ADD IP ROUTE=0.0.0.0 INT=eth1-2 NEXT=4.4.4.6 POLICY=3 ↓
      
      
    • 経路選択ポリシー「4」を持つパケット（DNSサーバーからのパケット）のデフォルトルートをeth1-3に向けます。これにより、DNSサーバーからのパケットはeth1-3に転送され、同インターフェースをGBLINTとするスタティックNATルールが適用されます。
      
      ADD IP ROUTE=0.0.0.0 INT=eth1-3 NEXT=4.4.4.6 POLICY=4 ↓
      
      
    • サーバー以外のホストからのパケットはポリシー「0」として扱われるため、デフォルトルート宛のパケットはeth1-0に転送され、同インターフェースをGBLINTとするダイナミックENATルールが適用されます。
      
    
    

    Note - ポリシーフィルターの設定を行わないと、サーバー側から通信を開始したときにパケットがeth1-0に転送されるため、ダイナミックENATが適用されてしまいます。WAN側からサーバーに対して通信を開始した場合は、スタティックNATルールのとおりに変換されます。ポリシーフィルターは、サーバー側から通信を開始した場合にも、スタティックNATが有効に働くようにするためのものです。サーバー側からの通信にダイナミックENATが適用されても問題ないときは、ポリシーフィルターの設定は不要です。

    
    
17. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
    
    CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓


メモ

ENABLE FIREWALL POLICY=net LOG=DENY ↓

SHOW LOG TYPE=FIRE ↓

まとめ

ルーターのコンフィグ [テキスト版]

ENABLE IP ↓ ADD IP INT=eth1-0 IP=4.4.4.1 MASK=255.255.255.248 ↓ ADD IP INT=eth1-1 IP=4.4.4.2 MASK=255.255.255.255 ↓ ADD IP INT=eth1-2 IP=4.4.4.3 MASK=255.255.255.255 ↓ ADD IP INT=eth1-3 IP=4.4.4.4 MASK=255.255.255.255 ↓ ADD IP INT=eth0 IP=192.168.10.1 MASK=255.255.255.0 ↓ ADD IP ROUTE=0.0.0.0 INT=eth1-0 NEXT=4.4.4.6 ↓ ENABLE FIREWALL ↓ CREATE FIREWALL POLICY=net ↓ ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓ DISABLE FIREWALL POLICY=net IDENTPROXY ↓ ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ↓ ADD FIREWALL POLICY=net INT=eth1-0 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net INT=eth1-1 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net INT=eth1-2 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net INT=eth1-3 TYPE=PUBLIC ↓ ADD FIREWALL POLICY=net NAT=STANDARD INT=eth0 IP=192.168.10.2 GBLINT=eth1-1 GBLIP=4.4.4.2 ↓ ADD FIREWALL POLICY=net NAT=STANDARD INT=eth0 IP=192.168.10.3 GBLINT=eth1-2 GBLIP=4.4.4.3 ↓ ADD FIREWALL POLICY=net NAT=STANDARD INT=eth0 IP=192.168.10.4 GBLINT=eth1-3 GBLIP=4.4.4.4 ↓ ADD FIREWALL POLICY=net NAT=ENHANCED INT=eth0 GBLINT=eth1-0 ↓ ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=eth1-1 PROTO=TCP GBLIP=4.4.4.2 GBLPORT=80 IP=192.168.10.2 PORT=80 ↓ ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=eth1-2 PROTO=TCP GBLIP=4.4.4.3 GBLPORT=25 IP=192.168.10.3 PORT=25 ↓ ADD FIREWALL POLICY=net RULE=3 AC=ALLOW INT=eth1-3 PROTO=TCP GBLIP=4.4.4.4 GBLPORT=53 IP=192.168.10.4 PORT=53 ↓ ADD FIREWALL POLICY=net RULE=4 AC=ALLOW INT=eth1-3 PROTO=UDP GBLIP=4.4.4.4 GBLPORT=53 IP=192.168.10.4 PORT=53 ↓ ADD IP FILTER=100 SOURCE=192.168.10.2 SMASK=255.255.255.255 POLICY=2 ↓ ADD IP FILTER=100 SOURCE=192.168.10.3 SMASK=255.255.255.255 POLICY=3 ↓ ADD IP FILTER=100 SOURCE=192.168.10.4 SMASK=255.255.255.255 POLICY=4 ↓ SET IP INT=eth0 POLICYFILTER=100 ↓ ADD IP ROUTE=0.0.0.0 INT=eth1-1 NEXT=4.4.4.6 POLICY=2 ↓ ADD IP ROUTE=0.0.0.0 INT=eth1-2 NEXT=4.4.4.6 POLICY=3 ↓ ADD IP ROUTE=0.0.0.0 INT=eth1-3 NEXT=4.4.4.6 POLICY=4 ↓

(C) 1997 - 2008 アライドテレシスホールディングス株式会社

PN: 613-000216 Rev.C

＜前頁 次頁＞ ＜＜ ＞＞ ↑ 目次 （番号順 (詳細)・ 回線別 (詳細)・ 機能別 (詳細)）