設定例集#49: Ethernet上でのファイアウォール・スタティックNAT
Ethernet上でファイアウォールのスタティックNAT機能を使用する場合の注意点について説明します。
この例では、既設ルーターの背後にファイアウォール兼NATボックスとして本製品を導入する環境を想定しています。インターネットサービスプロバイダー(ISP)からは、複数のグローバルIPアドレスをブロック単位で固定的に割り当てられているものとします。ダイナミックENATで本製品のLAN側クライアントがインターネットにアクセスできるようにし、ファイアウォールで外部からの不正アクセスを防止します。また、LAN側に置かれたサーバー(プライベートアドレスで運用)を、スタティックNATで外部に公開します。
構成
| ISPから提供された情報 |
| 使用できるアドレス |
10.0.0.0/29(10.0.0.0~10.0.0.7) |
| 接続形態 |
LAN型(アドレス8個固定) |
| ルーターの基本設定 |
| WAN側物理インターフェース |
eth1 |
| WAN側(eth1)IPアドレス |
10.0.0.1/29 |
| LAN側(eth0)IPアドレス |
192.168.10.1/24 |
| デフォルトゲートウェイ |
10.0.0.6(既設ルーターのLAN側) |
ここでは、次の方針で設定を行います。
- ISPからはアドレスブロック10.0.0.0/29(10.0.0.0~10.0.0.7)を固定的に割り当てられています。アドレスは8個ですが、10.0.0.0(ネットワークアドレス)と10.0.0.7(ブロードキャストアドレス)は使用できないため、端末に設定できるアドレスは10.0.0.1~10.0.0.6の6個となります。このうち、10.0.0.6はすでに既設ルーターのLAN側(内側)インターフェースに割り当てられています。
- ISPとは既設ルーターによって接続されています。既設ルーターではアドレス変換やパケットフィルタリングを行わず、既設ルーターのLAN側セグメントに接続した本製品でファイアウォールを動作させ、ここでアクセス制御を行うものとします。
- 本製品のWAN側(eth1)インターフェースには10.0.0.1を割り当てます。これで残るアドレスは10.0.0.2~10.0.0.5の4個となります。これらのアドレスはサーバー用に使いますが、直接サーバーに割り当てることはせずに、スタティックNATを介して使用します。
- 本製品のLAN側(eth0)インターフェースにはプライベートアドレス192.168.10.1を割り当て、クライアントはすべてプライベートアドレスで運用します。
- サーバーにもプライベートアドレスを設定し、本製品のLAN側セグメントに配置します。サーバーは既設ルーター・本製品のあるセグメントに置くこともできますが、ファイアウォールで保護したいため、本製品の内側に配置しています。また、外部からアクセスさせるため、スタティックNATを使って外からはグローバルアドレスを持っているように見せかけます。変換ルールは次のとおりとします。
- Webサーバー:192.168.10.2 → 10.0.0.2
- SMTPサーバー:192.168.10.3 → 10.0.0.3
- DNSサーバー:192.168.10.4 → 10.0.0.4
- WAN側インターフェースでリミテッドローカルプロキシーARP機能を有効にし、サーバーのグローバルアドレス宛てのARP要求に代理応答できるようにします。これはEthernet上でスタティックNATを使用する場合に必要な設定です。
- ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
- LAN側のクライアントがインターネットにアクセスできるよう、ダイナミックENATを使用します。グローバルアドレスには、WAN側のインターフェースアドレス(10.0.0.1)を共用します。
事前設定
本設定例は、あらかじめ AT-AR4000S-Cloud の仮想マシンに下記インターフェースを割り当て、管理用IPアドレスを設定していることを前提としています。
仮想マシンの設定については「環境別ガイド」をご参照ください。
| インターフェース名 |
IPv4アドレス |
備考 |
| eth0 |
192.168.10.1/24 |
管理用IPアドレス |
| eth1 |
未設定 |
|
構成が異なる場合はインターフェース名などを適宜読み替えてください。
ルーターの設定
- WANポートeth1にIPアドレスを設定します。これにはip addressコマンドを使います。
また、リミテッドローカルプロキシーARP機能を有効にし、サーバーのグローバルアドレス宛てのARP要求に代理応答するよう設定します。これには、ip limited-local-proxy-arpコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
interface eth1
ip limited-local-proxy-arp
ip address 10.0.0.1/29
- LAN側インターフェースeth0のIPアドレスは、事前設定時に設定済みのため、次のコマンドを手で入力する必要はありません。
interface eth0
ip address 192.168.10.1/24
- WANポートで有効にしたリミテッドローカルプロキシーARP機能の代理応答対象アドレスを指定します。これには、local-proxy-arpコマンドを使います。
local-proxy-arp 10.0.0.0/29
- ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnet、host、ip addressの各コマンドを使います。
zone private
network lan
ip subnet 192.168.10.0/24
host dns
ip address 192.168.10.4
host smtp
ip address 192.168.10.3
host web
ip address 192.168.10.2
- 外部ネットワークを表すゾーン「public」を作成します。
zone public
network wan
ip subnet 0.0.0.0/0 interface eth1
host eth1
ip address 10.0.0.1
- スタティックNAT用のグローバルIPアドレスを表すゾーン「global」を作成します。
zone global
network ip8
ip subnet 10.0.0.0/29
host dns
ip address 10.0.0.4
host smtp
ip address 10.0.0.3
host web
ip address 10.0.0.2
- ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、sport、dportの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
ここでは、TCP上のDNS通信を表すカスタムアプリケーション「dns_tcp」を定義します。
application dns_tcp
protocol tcp
sport any
dport 53
- 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。
・rule 10 - 内部から内部への通信を許可します(ここでは本製品・端末間の通信)
・rule 20 - 内部から外部への通信を許可します
・rule 30 - 内部からサーバー(グローバルアドレス)への通信を許可します
・rule 40 - サーバー(グローバルアドレス)間の通信を許可します
・rule 50 - サーバー(グローバルアドレス)から外部への通信を許可します
・rule 60 - 外部から内部のWebサーバーへの通信を許可します(NATルール20とペアで設定します)
・rule 70 - 外部から内部のSMTPサーバーへの通信を許可します(NATルール30とペアで設定します)
・rule 80 - 外部から内部のDNSサーバーへのUDP通信を許可します(NATルール40とペアで設定します)
・rule 90 - 外部から内部のDNSサーバーへのTCP通信を許可します(NATルール50とペアで設定します)
ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
firewall
rule 10 permit any from private to private
rule 20 permit any from private to public
rule 30 permit any from private to global
rule 40 permit any from global to global
rule 50 permit any from global to public
rule 60 permit http from public to private.lan.web
rule 70 permit smtp from public to private.lan.smtp
rule 80 permit dns from public to private.lan.dns
rule 90 permit dns_tcp from public to private.lan.dns
protect
- NAT機能の設定を行います。
これには、nat、rule、enableの各コマンドを使います。
・rule 10 - 内部のコンピューターがダイナミックENAT機能を使用できるようにします。「with src public.wan.eth1」により、変換後のアドレスとしてWAN側インターフェースの10.0.0.1を指定しています。
・rule 20 - WAN側で受信したWebサーバーのグローバルアドレス宛てのHTTPパケットを、宛先をプライベートアドレスに変換して内部のWebサーバーに転送します
・rule 30 - WAN側で受信したSMTPサーバーのグローバルアドレス宛てのSMTPパケットを、宛先をプライベートアドレスに変換して内部のSMTPサーバーに転送します
・rule 40 - WAN側で受信したDNSサーバーのグローバルアドレス宛てのUDP DNSパケットを、宛先をプライベートアドレスに変換して内部のDNSサーバーに転送します
・rule 50 - WAN側で受信したDNSサーバーのグローバルアドレス宛てのTCP DNSパケットを、宛先をプライベートアドレスに変換して内部のDNSサーバーに転送します
NATの詳細は「UTM」/「NAT」をご覧ください。
nat
rule 10 masq any from private to public with src public.wan.eth1
rule 20 portfwd http from public to global.ip8.web with dst private.lan.web
rule 30 portfwd smtp from public to global.ip8.smtp with dst private.lan.smtp
rule 40 portfwd dns from public to global.ip8.dns with dst private.lan.dns
rule 50 portfwd dns_tcp from public to global.ip8.dns with dst private.lan.dns
enable
- デフォルト経路を既設ルーターのLAN側インターフェース(10.0.0.6)に向けて設定します。これには、ip routeコマンドを使います。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
ip route 0.0.0.0/0 10.0.0.6
- 以上で設定は完了です。
end
設定の保存
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config ↓
Building configuration...
[OK]
また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory ↓
Building configuration...
[OK]
その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。
ファイアウォールログについて
■ ファイアウォールのログをとるには、次のコマンド(log(filter))を実行します。
awplus(config)# log buffered level informational facility local5 ↓
■ 記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall ↓
ルーターのコンフィグ
!
interface eth1
ip limited-local-proxy-arp
ip address 10.0.0.1/29
!
interface eth0
ip address 192.168.10.1/24
!
local-proxy-arp 10.0.0.0/29
!
zone private
network lan
ip subnet 192.168.10.0/24
host dns
ip address 192.168.10.4
host smtp
ip address 192.168.10.3
host web
ip address 192.168.10.2
!
zone public
network wan
ip subnet 0.0.0.0/0 interface eth1
host eth1
ip address 10.0.0.1
!
zone global
network ip8
ip subnet 10.0.0.0/29
host dns
ip address 10.0.0.4
host smtp
ip address 10.0.0.3
host web
ip address 10.0.0.2
!
application dns_tcp
protocol tcp
sport any
dport 53
!
firewall
rule 10 permit any from private to private
rule 20 permit any from private to public
rule 30 permit any from private to global
rule 40 permit any from global to global
rule 50 permit any from global to public
rule 60 permit http from public to private.lan.web
rule 70 permit smtp from public to private.lan.smtp
rule 80 permit dns from public to private.lan.dns
rule 90 permit dns_tcp from public to private.lan.dns
protect
!
nat
rule 10 masq any from private to public with src public.wan.eth1
rule 20 portfwd http from public to global.ip8.web with dst private.lan.web
rule 30 portfwd smtp from public to global.ip8.smtp with dst private.lan.smtp
rule 40 portfwd dns from public to global.ip8.dns with dst private.lan.dns
rule 50 portfwd dns_tcp from public to global.ip8.dns with dst private.lan.dns
enable
!
ip route 0.0.0.0/0 10.0.0.6
!
end
(C) 2022 - 2025 アライドテレシスホールディングス株式会社
PN: 613-003066 Rev.L