<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #119
専用線によるIPv4/IPv6デュアルスタック型インターネット接続(IPv4ファイアウォール/IPv6フィルター)
専用線を使ってISPとIPv4/IPv6のデュアルスタックでネイティブ接続します。この例では、基本設定に(IPv4の)ファイアウォールとIPv6トラフィックフィルターの設定を追加して、IPv4/IPv6双方のトラフィックを制御しセキュリティーを強化する方法を示します。
一般的なIPv6接続サービスでは、ネイティブ型、トンネル型などの接続形態にかかわらず、48ビット長(/48)のプレフィックスを割り当てられます。これは、64ビット長(/64)のサブネット65536個に相当する事実上無限のアドレス空間です。そのため、IPv6ではNATを使うことなく個々のホストがグローバルアドレスでインターネットにアクセスできます。
ここでは、次のような構成のネットワークを例に解説します。
- IPv4は、アドレス16個固定のLAN型接続。WAN側はUnnumbered、LAN側はすべてグローバルアドレスで運用する。
- IPv6は、/48プレフィックスの割り当てを受けている。WAN側はリンクローカルアドレスのみ、LAN側は割り当てられた範囲内の/64プレフィックス1個を設定して運用する。
表 1:ルーターの基本設定
| TDMグループ名 |
ISP |
| 回線速度 |
128Kbps |
| WAN側物理インターフェース |
bri0 |
| 使用できるIPv4アドレス |
4.4.4.0/28(4.4.4.0〜4.4.4.15) |
| 使用できるIPv6プレフィックス |
3ffe:1:1::/48 |
| WAN側(ppp0)IPv4アドレス |
Unnumbered |
| WAN側(ppp0)IPv6アドレス |
リンクローカルアドレスのみ |
| LAN側(eth0)IPv4アドレス |
4.4.4.1/28 |
| LAN側(eth0)IPv6アドレス |
3ffe:1:1:1::1/64 |
IPv4のトラフィックに対しては、ファイアウォールの基本ルールを適用してセキュリティーを確保します。
また、IPv6のトラフィックに対しては、IPv6フィルターを使って次のようなフィルタリングを行います。
- TCPは内部(LAN)から外部(インターネット)へのみコネクションを張ることができる。
- UDPは双方向とも禁止。ただし、内部から外部へのDNS要求/応答だけは許可する。
- ICMPv6は双方向とも許可。
- BRIインターフェース「0」の全スロット(1〜2)を常時起動のTDM(専用線)モードに設定します。
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
- bri0のスロット1〜2(128Kbps)に対し、TDMグループ「ISP」を作成します。
CREATE TDM GROUP=ISP INT=bri0 SLOTS=1-2 ↓
- PPPインターフェース「0」をTDMグループ「ISP」上に作成します。LQRはオフにします。
CREATE PPP=0 OVER=TDM-ISP LQR=OFF ↓
- ここからはIPv4の設定です。最初にIPモジュールを有効にします。
- LAN側(eth0)インターフェースに、ISPから提供されたアドレスブロックの先頭アドレスを設定します。
ADD IP INT=eth0 IP=4.4.4.1 MASK=255.255.255.240 ↓
- WAN側(ppp0)インターフェースをUnnumbered(0.0.0.0)に設定します。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- ファイアウォール機能を有効にします。
- ファイアウォールの動作を規定するファイアウォールポリシー「net」を作成します。
CREATE FIREWALL POLICY=net ↓
- ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
Note
- デフォルト設定では、ICMPはファイアウォールを通過できません。
- ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対して、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
- ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- LAN側インターフェース(eth0)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ↓
- WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
- ここからはIPv6の設定です。最初にIPv6モジュールを有効にします。
- LAN側(eth0)インターフェースにIPv6アドレス3ffe:1:1:1::1/64を設定します。「PUBLISH=YES」は、LAN上にプレフィックスなどを通知するよう指示するものです。IPv6対応クライアントホストは、ルーターから通知を受けることにより、自身のアドレスとデフォルトゲートウェイを自動設定できます。
ADD IPV6 INT=eth0 IP=3ffe:1:1:1::1/64 PUBLISH=YES ↓
- ルーター通知(RA)を有効にします。これにより、「PUBLISH=YES」と指定されたインターフェースでプレフィックスなどの通知を行うようになります。
- WAN側(ppp0)インターフェースはグローバルアドレスを割り当てる必要が特にないので、CREATE IPV6 INTERFACEコマンドでリンクローカルアドレスだけを設定します(IPv4におけるUnnumbered PPPインターフェースとほぼ同じ扱い)。
- デフォルトルートをWAN側(ppp0)インターフェースに向けて設定します。
ADD IPV6 ROUTE=::/0 INT=ppp0 NEXT=:: ↓
- 外部からのIPv6トラフィックを制限するため、IPv6フィルターの設定を行います。最初に、WAN側(ppp0)インターフェースに適用するIPv6フィルター「1」を作成します。
- LAN側から張ったTCPコネクションに限り、インターネット側からLANへのTCPパケットを通過させます。
ADD IPV6 FILTER=1 SOURCE=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=1 ENTRY=1 DEST=3ffe:1:1::/48 PROTO=TCP SESS=ESTABLISHED ↓
- インターネット側からLAN側へのUDPパケットは、DNSからの応答(始点UDPポート53番)のみ通過させます。
ADD IPV6 FILTER=1 SOURCE=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=1 ENTRY=2 DEST=3ffe:1:1::/48 PROTO=UDP SPORT=53 ↓
- インターネット側からのICMPv6パケットはすべて通過させます。
ADD IPV6 FILTER=1 SOURCE=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=1 ENTRY=3 DEST=:: PROTO=ICMP ICMPTYPE=ANY ICMPCODE=ANY ↓
Note
- IPv6フィルターのデフォルト動作は「すべて拒否(EXCLUDE)」です。すなわち、明示的に指定した条件にマッチしなかったパケットはすべて破棄されます。
- LAN側(eth0)インターフェースに適用するIPv6フィルター「2」を作成します。
- LAN側からインターネット側へのTCPパケットはすべて通過させます。
ADD IPV6 FILTER=2 SOURCE=3ffe:1:1::/48 ACTION=INCLUDE ↓
SET IPV6 FILTER=2 ENTRY=1 DEST=:: PROTO=TCP SESS=ANY ↓
- LAN側からインターネット側へのUDPパケットは、DNSへのリクエスト(終点UDPポート53番)のみ通過させます。
ADD IPV6 FILTER=2 SOURCE=3ffe:1:1::/48 ACTION=INCLUDE ↓
SET IPV6 FILTER=2 ENTRY=2 DEST=:: PROTO=UDP DPORT=53 ↓
- LAN側からインターネット側へのICMPv6パケットはすべて通過させます。
ADD IPV6 FILTER=2 SOURCE=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=2 ENTRY=3 DEST=:: PROTO=ICMP ICMPTYPE=ANY ICMPCODE=ANY ↓
Note
- IPv6フィルターのデフォルト動作は「すべて拒否(EXCLUDE)」です。すなわち、明示的に指定した条件にマッチしなかったパケットはすべて破棄されます。
Note
- Ethernetインターフェース(PPPoEを除く)にIPv6フィルターを適用するときは、最低限ICMPv6のNS、NA、RSメッセージを通過させるよう設定してください。これらはIPv6の通信に必須のメッセージなので、遮断すると正常に通信できなくなります。詳細は本設定例末尾の「メモ」をご覧ください。
- IPv6フィルター「1」をWAN側(ppp0)インターフェースに適用します。
SET IPV6 INT=ppp0 FILTER=1 ↓
- IPv6フィルター「2」をLAN側(eth0)インターフェースに適用します。
SET IPV6 INT=eth0 FILTER=2 ↓
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
■ IPv6インターフェースの情報はSHOW IPV6 INTERFACEコマンドで確認できます。
■ IPv6フィルターには、条件を指定するさまざまなパラメーターがあります。くわしくはコマンドリファレンスをご覧ください。
■ Ethernetインターフェース(PPPoEを除く)にIPv6フィルターを適用するときは、最低限ICMPv6のNS(Neighbor Solicitation)、NA(Neighbor Advertisement)、RS(Router Solicitation)メッセージを通過させるよう設定してください。これらはIPv6の通信に必須のメッセージなので、遮断すると正常に通信できなくなります。次に、これらのパケットを通過させるための設定例を示します。
ADD IPV6 FILTER=0 SO=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=0 ENTRY=1 PROTO=ICMP ICMPTYPE=RTSOLICIT ICMPCODE=ANY ↓
ADD IPV6 FILTER=0 SO=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=0 ENTRY=2 PROTO=ICMP ICMPTYPE=NBSOLICIT ICMPCODE=ANY ↓
ADD IPV6 FILTER=0 SO=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=0 ENTRY=3 PROTO=ICMP ICMPTYPE=NBADVERT ICMPCODE=ANY ↓
■ IPv6フィルターはパラメーターが多いため、コマンドラインが長くなりがちです。コマンドラインの入力文字数制限によりコマンドを入力できない場合は、省略形を使ったり、コマンドを複数行に分けるなどして対処してください。
■ IPv6フィルターの設定状況を確認するには次のコマンドを使います。
■ どのIPv6インターフェースにどのソフトウェアIPフィルターが適用されているかを確認するには、次のコマンドを使います。
■ IPv6インターフェースからIPv6フィルターを削除するには、SET IPV6 INTERFACEコマンドのFILTERパラメーターにNONEを指定します。ppp0インターフェースからIPv6フィルターの適用を取り消すには、次のようにします。
SET IPV6 INT=ppp0 FILTER=NONE ↓
■ ファイアウォールで遮断されたパケットのログをとるには、次のコマンドを実行します。
ENABLE FIREWALL POLICY=net LOG=DENY ↓
記録されたログを見るには、次のコマンドを実行します。ここでは、「TYPE=FIRE」により、ファイアウォールが出力したログメッセージだけを表示させています。
■ 現在の設定内容を表示するには、次のコマンドを使います。
ルーターのコンフィグ
[テキスト版]
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=ISP INT=bri0 SLOTS=1-2 ↓
CREATE PPP=0 OVER=TDM-ISP LQR=OFF ↓
ENABLE IP ↓
ADD IP INT=eth0 IP=4.4.4.1 MASK=255.255.255.240 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACHABLE ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ENABLE IPV6 ↓
ADD IPV6 INT=eth0 IP=3ffe:1:1:1::1/64 PUBLISH=YES ↓
ENABLE IPV6 ADVERTISE ↓
CREATE IPV6 INT=ppp0 ↓
ADD IPV6 ROUTE=::/0 INT=ppp0 NEXT=:: ↓
ADD IPV6 FILTER=1 SOURCE=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=1 ENTRY=1 DEST=3ffe:1:1::/48 PROTO=TCP SESS=ESTABLISHED ↓
ADD IPV6 FILTER=1 SOURCE=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=1 ENTRY=2 DEST=3ffe:1:1::/48 PROTO=UDP SPORT=53 ↓
ADD IPV6 FILTER=1 SOURCE=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=1 ENTRY=3 DEST=:: PROTO=ICMP ICMPTYPE=ANY ICMPCODE=ANY ↓
ADD IPV6 FILTER=2 SOURCE=3ffe:1:1::/48 ACTION=INCLUDE ↓
SET IPV6 FILTER=2 ENTRY=1 DEST=:: PROTO=TCP SESS=ANY ↓
ADD IPV6 FILTER=2 SOURCE=3ffe:1:1::/48 ACTION=INCLUDE ↓
SET IPV6 FILTER=2 ENTRY=2 DEST=:: PROTO=UDP DPORT=53 ↓
ADD IPV6 FILTER=2 SOURCE=:: ACTION=INCLUDE ↓
SET IPV6 FILTER=2 ENTRY=3 DEST=:: PROTO=ICMP ICMPTYPE=ANY ICMPCODE=ANY ↓
SET IPV6 INT=ppp0 FILTER=1 ↓
SET IPV6 INT=eth0 FILTER=2 ↓
|
CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #119
Copyright (C) 1997-2003 アライドテレシス株式会社
PN: J613-M0507-00 Rev.G
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))