[index] AT-AR3050S/AT-AR4050S/AT-AR4050S-5G コマンドリファレンス 5.5.5

設定例集#49: Ethernet上でのファイアウォール・スタティックNAT

構成

• ISPからはアドレスブロック10.0.0.0/29（10.0.0.0～10.0.0.7）を固定的に割り当てられています。アドレスは8個ですが、10.0.0.0（ネットワークアドレス）と10.0.0.7（ブロードキャストアドレス）は使用できないため、端末に設定できるアドレスは10.0.0.1～10.0.0.6の6個となります。このうち、10.0.0.6はすでに既設ルーターのLAN側（内側）インターフェースに割り当てられています。
  
  
• ISPとは既設ルーターによって接続されています。既設ルーターではアドレス変換やパケットフィルタリングを行わず、既設ルーターのLAN側セグメントに接続した本製品でファイアウォールを動作させ、ここでアクセス制御を行うものとします。
  
  
• 本製品のWAN側（eth1）インターフェースには10.0.0.1を割り当てます。これで残るアドレスは10.0.0.2～10.0.0.5の4個となります。これらのアドレスはサーバー用に使いますが、直接サーバーに割り当てることはせずに、スタティックNATを介して使用します。
  
  
• 本製品のLAN側（vlan1）インターフェースにはプライベートアドレス192.168.10.1を割り当て、クライアントはすべてプライベートアドレスで運用します。
  
  
• サーバーにもプライベートアドレスを設定し、本製品のLAN側セグメントに配置します。サーバーは既設ルーター・本製品のあるセグメントに置くこともできますが、ファイアウォールで保護したいため、本製品の内側に配置しています。また、外部からアクセスさせるため、スタティックNATを使って外からはグローバルアドレスを持っているように見せかけます。変換ルールは次のとおりとします。
  
  • Webサーバー：192.168.10.2 → 10.0.0.2
    
  • SMTPサーバー：192.168.10.3 → 10.0.0.3
    
  • DNSサーバー：192.168.10.4 → 10.0.0.4
    
  
  
• WAN側インターフェースでリミテッドローカルプロキシーARP機能を有効にし、サーバーのグローバルアドレス宛てのARP要求に代理応答できるようにします。これはEthernet上でスタティックNATを使用する場合に必要な設定です。
  
  
• ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
  
  
• LAN側のクライアントがインターネットにアクセスできるよう、ダイナミックENATを使用します。グローバルアドレスには、WAN側のインターフェースアドレス（10.0.0.1）を共用します。
  

設定開始前に

自動設定の確認と削除

• ネットワークケーブルを接続せずに起動する。
  起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
  ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
  
  
• 自動設定を手動で削除してから設定を行う。
  前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。
  

システム時刻の設定

• 手動で設定する方法 - 「運用・管理」/「システム」
  
• NTPで自動設定する方法 - 「運用・管理」/「NTP」
  

ルーターの設定

1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
   スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
   

   no spanning-tree rstp enable
   

2. WANポートeth1にIPアドレスを設定します。これにはip addressコマンドを使います。
   また、リミテッドローカルプロキシーARP機能を有効にし、サーバーのグローバルアドレス宛てのARP要求に代理応答するよう設定します。これには、ip limited-local-proxy-arpコマンドを使います。
   IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
   

   interface eth1
    ip limited-local-proxy-arp
    ip address 10.0.0.1/29
   

3. LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
   IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
   

   interface vlan1
    ip address 192.168.10.1/24
   

4. WANポートで有効にしたリミテッドローカルプロキシーARP機能の代理応答対象アドレスを指定します。これには、local-proxy-arpコマンドを使います。
   

   local-proxy-arp 10.0.0.0/29
   

5. ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
   エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
   
   内部ネットワークを表すゾーン「private」を作成します。
   これには、zone、network、ip subnet、host、ip addressの各コマンドを使います。
   

   zone private
    network lan
     ip subnet 192.168.10.0/24
     host dns
      ip address 192.168.10.4
     host smtp
      ip address 192.168.10.3
     host web
      ip address 192.168.10.2
   

6. 外部ネットワークを表すゾーン「public」を作成します。
   

   zone public
    network wan
     ip subnet 0.0.0.0/0 interface eth1
     host eth1
      ip address 10.0.0.1
   

7. スタティックNAT用のグローバルIPアドレスを表すゾーン「global」を作成します。
   

   zone global
    network ip8
     ip subnet 10.0.0.0/29
     host dns
      ip address 10.0.0.4
     host smtp
      ip address 10.0.0.3
     host web
      ip address 10.0.0.2
   

8. ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
   これには、application、protocol、sport、dportの各コマンドを使います。
   アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
   
   ここでは、TCP上のDNS通信を表すカスタムアプリケーション「dns_tcp」を定義します。
   

   application dns_tcp
    protocol tcp
    sport any
    dport 53
   

9. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
   これには、firewall、rule、protectの各コマンドを使います。
   
   ・rule 10 - 内部から内部への通信を許可します（ここでは本製品・端末間の通信）
   ・rule 20 - 内部から外部への通信を許可します
   ・rule 30 - 内部からサーバー（グローバルアドレス）への通信を許可します
   ・rule 40 - サーバー（グローバルアドレス）間の通信を許可します
   ・rule 50 - サーバー（グローバルアドレス）から外部への通信を許可します
   ・rule 60 - 外部から内部のWebサーバーへの通信を許可します（NATルール20とペアで設定します）
   ・rule 70 - 外部から内部のSMTPサーバーへの通信を許可します（NATルール30とペアで設定します）
   ・rule 80 - 外部から内部のDNSサーバーへのUDP通信を許可します（NATルール40とペアで設定します）
   ・rule 90 - 外部から内部のDNSサーバーへのTCP通信を許可します（NATルール50とペアで設定します）
   
   ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
   

   firewall
    rule 10 permit any from private to private
    rule 20 permit any from private to public
    rule 30 permit any from private to global
    rule 40 permit any from global to global
    rule 50 permit any from global to public
    rule 60 permit http from public to private.lan.web
    rule 70 permit smtp from public to private.lan.smtp
    rule 80 permit dns from public to private.lan.dns
    rule 90 permit dns_tcp from public to private.lan.dns
    protect
   

10. NAT機能の設定を行います。
    これには、nat、rule、enableの各コマンドを使います。
    
    ・rule 10 - 内部のコンピューターがダイナミックENAT機能を使用できるようにします。「with src public.wan.eth1」により、変換後のアドレスとしてWAN側インターフェースの10.0.0.1を指定しています。
    ・rule 20 - WAN側で受信したWebサーバーのグローバルアドレス宛てのHTTPパケットを、宛先をプライベートアドレスに変換して内部のWebサーバーに転送します
    ・rule 30 - WAN側で受信したSMTPサーバーのグローバルアドレス宛てのSMTPパケットを、宛先をプライベートアドレスに変換して内部のSMTPサーバーに転送します
    ・rule 40 - WAN側で受信したDNSサーバーのグローバルアドレス宛てのUDP DNSパケットを、宛先をプライベートアドレスに変換して内部のDNSサーバーに転送します
    ・rule 50 - WAN側で受信したDNSサーバーのグローバルアドレス宛てのTCP DNSパケットを、宛先をプライベートアドレスに変換して内部のDNSサーバーに転送します
    
    NATの詳細は「UTM」/「NAT」をご覧ください。
    

    nat
     rule 10 masq any from private to public with src public.wan.eth1
     rule 20 portfwd http from public to global.ip8.web with dst private.lan.web
     rule 30 portfwd smtp from public to global.ip8.smtp with dst private.lan.smtp
     rule 40 portfwd dns from public to global.ip8.dns with dst private.lan.dns
     rule 50 portfwd dns_tcp from public to global.ip8.dns with dst private.lan.dns
     enable
    

11. デフォルト経路を既設ルーターのLAN側インターフェース（10.0.0.6）に向けて設定します。これには、ip routeコマンドを使います。
    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    

    ip route 0.0.0.0/0 10.0.0.6
    

12. 以上で設定は完了です。
    

    end
    

設定の保存

awplus# copy running-config startup-config ↓
Building configuration...
[OK]

awplus# write memory ↓
Building configuration...
[OK]

ファイアウォールログについて

awplus(config)# log buffered level informational facility local5 ↓

awplus# show log | include Firewall ↓

ルーターのコンフィグ

!
no spanning-tree rstp enable
!
interface eth1
 ip limited-local-proxy-arp
 ip address 10.0.0.1/29
!
interface vlan1
 ip address 192.168.10.1/24
!
local-proxy-arp 10.0.0.0/29
!
zone private
 network lan
  ip subnet 192.168.10.0/24
  host dns
   ip address 192.168.10.4
  host smtp
   ip address 192.168.10.3
  host web
   ip address 192.168.10.2
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface eth1
  host eth1
   ip address 10.0.0.1
!
zone global
 network ip8
  ip subnet 10.0.0.0/29
  host dns
   ip address 10.0.0.4
  host smtp
   ip address 10.0.0.3
  host web
   ip address 10.0.0.2
!
application dns_tcp
 protocol tcp
 sport any
 dport 53
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit any from private to global
 rule 40 permit any from global to global
 rule 50 permit any from global to public
 rule 60 permit http from public to private.lan.web
 rule 70 permit smtp from public to private.lan.smtp
 rule 80 permit dns from public to private.lan.dns
 rule 90 permit dns_tcp from public to private.lan.dns
 protect
!
nat
 rule 10 masq any from private to public with src public.wan.eth1
 rule 20 portfwd http from public to global.ip8.web with dst private.lan.web
 rule 30 portfwd smtp from public to global.ip8.smtp with dst private.lan.smtp
 rule 40 portfwd dns from public to global.ip8.dns with dst private.lan.dns
 rule 50 portfwd dns_tcp from public to global.ip8.dns with dst private.lan.dns
 enable
!
ip route 0.0.0.0/0 10.0.0.6
!
end

(C) 2015 - 2025 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.BF