[index] CentreCOM AR100 シリーズコマンドリファレンス 2.3

ファイアウォール/概要・基本設定

対象機種：AR130、AR160

  - IPフィルターとの比較
  - 基本設定
   - インターフェースと基本ルール
    - ICMPパケットの扱い
    - 本体インターフェース宛ての通信
  - ルールの追加
   - トラフィックを制限する
   - アクセスを許可する
   - インターフェースNAT
    - スタティックNAT
    - ダイナミックENAT
    - スタティックENAT（ポート/プロトコル転送）
   - ルールの確認・修正・削除
   - ファイアウォールルールの処理順序
  - ファイアウォールの動作監視
   - ログ
   - デバッグオプション
   - ファイアウォールセッションの確認
  - その他設定
  - 設定例

本製品には、IPトラフィックフローの開始・終了を認識し、これに応じて動的なパケットフィルタリングを行うステートフルインスペクション型のファイアウォールが搭載されています。ここでは、ファイアウォールの基本的な設定方法について説明します。

IPフィルターとの比較

IPパケットのフィルタリングは、IPモジュールの「IPフィルター」によっても提供されています。フィルタリングの機能自体はほぼ同等ですが、設定項目や設定方法に細かい差異がありますので、運用上のニーズに応じてご使用ください。

汎用設計のIPフィルターに対して、ファイアウォールはインターネット接続を念頭に置いた設計になっており、最小限の設定で高い安全性を確保できるようになっています。

詳細については後述しますが、

モジュールを有効化し、
ファイアウォールポリシーを作成し、
外側（インターネット側）と内側（LAN側）のインターフェースを指定する

の3つの手順だけで、LAN側からインターネットへの通信は自由に行え、インターネットからLAN側への通信はすべて拒否するという、ファイアウォールの基本ルールが有効になります。

IPフィルターがパケットごとにヘッダーを見て処理を行う単純なパケットフィルターであるのに対し、ファイアウォールはトラフィックフロー（一連のパケット）を常に意識しているため、LAN側からの要求に対する応答パケットを通すために、Syn/Ackなどによる細かい設定をする必要がありません。

たとえば、LAN側のクライアントがインターネット上のサーバーと通信を開始したとします。ファイアウォールは、通信開始を検知すると該当セッションをテーブルに登録します。セッションは、ローカル側IPアドレス、プロトコル、ポート、リモート側IPアドレス、ポートなどの情報からなります。テーブルに記録されている間、セッションに該当するパケットは方向に関係なく通過させます。通信が終了するなどして一定時間通信が行われなくなると、テーブルからセッションを削除し、それ以降は同じサーバーからであっても、外部からのパケットは一切通過させません。このような処理を行うファイアウォールを、単純なパケットフィルタリング型ファイアウォールと対比して、ステートフルインスペクション型あるいはダイナミックパケットフィルタリングファイアウォールと呼びます。

また、ファイアウォールにはNAT（Network Address Translation）の機能も統合されており、グローバルアドレスを1つしか割り当てられない端末型インターネット接続の環境においても、複数のホストがインターネットにアクセスできるよう設定できます。

さらに、ファイアウォールには、拒否・許可したパケットのログを記録する機能もあります。

なお、ファイアウォールとIPフィルターは併用できるため、基本的なセキュリティーの確保にはファイアウォールを使い、ファイアウォールで制御できない点（ICMPの方向制御など）をIPフィルターで補う設定も可能です。

基本設定

本製品をファイアウォールとして使用する上で最低限必要な手順は次のとおりです。ここでは次のような構成のネットワークを想定しています。IPの設定までは終わっているものと仮定します。

ファイアウォール機能を有効にします。
ファイアウォールポリシーを作成します。ポリシー名は自由に付けられます。
ファイアウォールポリシーの適用対象となるIPインターフェースを指定します。内側をPRIVATE、外側をPUBLICに設定します。

基本設定は以上です。

これにより、手順3で指定したインターフェース間のトラフィックに基本的なルールが適用され、外部（PUBLIC）から内部（PRIVATE）にはパケットが転送されなくなります。一方、内部から外部への通信は自由に行うことができます。ステートフルインスペクションにより、内部から通信を開始したときにはその状態が記憶されるため、戻りのパケットを通すために特別な設定をする必要はありません。

本製品では、上記の基本設定に独自のルールを追加することで、内部と外部のインターフェース間のやりとりを制御します。

■ 上記の基本設定だけでも十分実用的な運用が可能ですが、下記の設定を追加することにより、さらに快適に使用することができます。ここでは例だけを示します。詳細は他のセクションをご覧ください。

ICMPパケットがファイアウォールを通過できるようにします。基本ルールでは、ICMPパケットはどちらの方向にもまったく転送されません（内部からのPINGも通らないので注意してください）。
Identプロキシー機能をオフにして、インターネット上のメールサーバーとの通信がすばやく行われるようにします。
拒否したパケットのログをとりたい場合は、次のコマンドを実行します。
端末型接続のようにグローバルアドレスが1つしかない場合は、ダイナミックENATを使います。

ここまでを基本設定と考えていただいてもかまいません。

インターフェースと基本ルール

ファイアウォールのインターフェースは次の3種類に分類されます。

PRIVATE（内部）インターフェース：ファイアウォールで保護すべき内部ネットワーク側インターフェース。TYPE=PRIVATEでポリシーに追加されたインターフェースのこと
PUBLIC（外部）インターフェース：ファイアウォールの外側に位置するインターフェース。TYPE=PUBLICでポリシーに追加されたインターフェースのこと
その他のインターフェース：ファイアウォールの管理対象でないインターフェース

各インターフェースの配下にあるホスト間の通信可否は次のとおりです。ただしICMPは除きます。詳細は次節「ICMPパケットの扱い」をご覧ください。

表 1：インターフェース間の通信可否（ICMPを除く）

送信元→宛先 PRIVATE PUBLIC その他

PRIVATE ○ ○ ×

PUBLIC × ○ ○

その他 × ○ ○

PRIVATE側からPUBLIC側へは通信を開始できますが、PRIVATE以外のインターフェース（PUBLIC、その他）からPRIVATE側への通信はすべて遮断します。これが基本ルールです。

ファイアウォールの動作をさらに細かく制御したい場合は、ADD FIREWALL POLICY RULEコマンドでPRIVATEかPUBLICインターフェースに独自ルールを追加します。独自ルールには次の種類があります。

拒否ルール：基本ルールでは素通しされるトラフィックを遮断する。通常PRIVATEインターフェースに設定する。
許可ルール：基本ルールでは遮断されるトラフィックを通過させる。通常PUBLICインターフェースに設定する。

Note - 「その他」インターフェースに独自ルールを設定することはできません。

ICMPパケットの扱い

ファイアウォールは、前記の基本ルールと独自ルールにしたがってトラフィックを制御しますが、ICMPパケットだけはルールの例外扱いとなります。デフォルトの設定（ICMP転送オフ時）では、PRIVATE・PUBLIC間およびPRIVATE・その他間ではICMPはどちら向きにも転送されません。

表 2：ICMPの通信可否（転送オフ時）

送信元→宛先 PRIVATE PUBLIC その他

PRIVATE ○ × ×

PUBLIC × ○ ○

その他 × ○ ○

PRIVATE・PUBLIC間でICMPパケットの転送が行われるようにするには、ENABLE FIREWALL POLICYコマンドのICMP_FORWARDINGパラメーターに転送するICMPメッセージのタイプを指定します。ICMPメッセージをすべて通すならALLを指定します。転送をオンにしたときのICMPの通信可否は次のようになります。

表 3：ICMPの通信可否（転送オン時）

送信元→宛先 PRIVATE PUBLIC その他

PRIVATE ○ ○ ×

PUBLIC ○ ○ ○

その他 × ○ ○

Note - ICMPの転送をオンにしても、PRIVATE・その他間では転送されません（PRIVATE・その他間では、ICMPも含め、いっさい通信ができません）。

Note - ICMPは双方向とも通すか、まったく通さないかの設定しかできません。ファイアウォールの独自ルールでもICMPパケットの通過・拒否は制御できませんので、片側からのみ通すような設定をしたい場合はIPフィルターを併用してください。

本体インターフェース宛ての通信

また、各インターフェース配下から本製品のインターフェース宛ての通信（Telnetなど）可否は次のとおりです。

表 4：インターフェース配下から本体インターフェース宛ての通信可否

送信元→宛先I/F PRIVATE PUBLIC その他

PRIVATE ○ ○ ×

PUBLIC × × ×

その他 × ○ ○

Note - 「その他」インターフェース配下から本体に対してTelnetが可能な点にご注意ください。

ルールの追加

上記の基本設定にルールを追加するには、ADD FIREWALL POLICY RULEコマンドを使います。以下、いくつか例を示します。

Note - ルールを追加するときは、RULEパラメーターで指定するルール番号が重ならないようにしてください。また、ルールのチェックは番号の若い順に行われ、最初にマッチしたものが適用されるため、ルールの順序にも留意してください。

Note - ファイアウォールルールの設定ではコマンドラインが長くなりがちなので、適宜省略形を用いるようにしてください。以下の例でも省略形を使っています。

トラフィックを制限する

デフォルトでは内部から外部へのパケットをすべて通しますが（ICMPを除く）、予期せぬ発呼や情報の漏洩を防ぐため、不要なトラフィックを遮断することができます。

■ 次の例では、内部（eth0）からのMS-Networksパケット（Windowsネットワークなどで使用されるパケット）を遮断しています。ファイアウォールの基本ルールにより、その他のパケットはこれまでどおり通過が許可されます。


ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=eth0 PROT=TCP PORT=135 ↓

ADD FIREWALL POLICY=mynet RULE=2 AC=DENY INT=eth0 PROT=UDP PORT=135 ↓

ADD FIREWALL POLICY=mynet RULE=3 AC=DENY INT=eth0 PROT=TCP PORT=137-139 ↓

ADD FIREWALL POLICY=mynet RULE=4 AC=DENY INT=eth0 PROT=UDP PORT=137-139 ↓

ADD FIREWALL POLICY=mynet RULE=5 AC=DENY INT=eth0 PROT=TCP PORT=445 ↓

5つのコマンドは、「eth0インターフェースで受信したTCP、UDPパケットのうち、終点ポート番号が135、137～139のもの、および、TCPパケットのうち終点ポート番号が445番のものを破棄する」の意味になります。

■ 特定アドレスへのアクセスを禁止することもできます。この場合はREMOTEIPパラメーターで終点IPアドレスを指定します。IPアドレスは範囲で指定することも可能です。次の例では、内部から12.34.56.0～12.34.56.255の範囲へのアクセスを禁止しています。

ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=eth0 PROT=ALL REMOTEIP=12.34.56.0-12.34.56.255 ↓

このコマンドは、「eth0インターフェースで受信したIPパケットのうち、終点IPアドレスが12.34.56.0～12.34.56.255のものを破棄する」の意味になります。

Note - デフォルトではICMPはファイアウォールを通過しません。ICMPの転送を有効にするには、ENABLE FIREWALL POLICYコマンドのICMP_FORWARDINGオプションを使う必要があります。

■ また、特定の内部ホストが外部にアクセスできないようにすることもできます。この場合はIPパラメーターで始点IPアドレスを指定します。IPアドレスは範囲で指定することも可能です。次の例では、内部ホスト192.168.10.3からのパケットを破棄するよう設定しています。

ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=eth0 PROT=ALL IP=192.168.10.3 ↓

このコマンドは、「eth0インターフェースで受信したIPパケットのうち、始点IPアドレスが192.168.10.3のものを破棄する」の意味になります。

■ 内部からのトラフィックを制限するときのパラメーターの指定方法をまとめます

表 5

パラメーター 指定する内容

ACTION 内部から外部への転送を拒否するためDENYを指定します。

INTERFACE 内部（PRIVATE）インターフェースを指定します。

PROTOCOL 対象となるプロトコルを指定します。TCP、UDPを指定した場合はPORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です。

REMOTEIP 終点IPアドレス。パケットの宛先となる外部ホストのIPアドレスです（範囲指定可）。省略時はすべての終点IPアドレスが対象となります。

PORT 終点ポート番号。パケットの宛先となる外部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。

IP 始点IPアドレス。パケットの送信元となる内部ホストのIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象となります。

SOURCEPORT 始点ポート番号。パケットの送信元となる内部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります。

アクセスを許可する

デフォルトでは外部からのパケットをすべて拒否しますが、内部のWebサーバーにだけはアクセスさせたいような場合に、特定のIPアドレス、または、IPアドレス・ポート宛てのパケットのみ通過を許可する設定ができます。ただし、外部からのパケットを許可することはファイアウォールに穴をあけることであり、セキュリティー低下のリスクが伴いますので設定には十分ご注意ください。

■ 次の例では、PRIVATE・PUBLIC間でNATを使用していないことを前提に、外部（ppp0）から内部ホスト4.4.4.2へのアクセスを許可しています。ファイアウォールの基本ルールにより、その他のホストに対するアクセスはこれまでどおり拒否されます。

ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL IP=4.4.4.2 ↓

このコマンドは、「ppp0インターフェースで受信したIPパケットのうち、終点IPアドレスが4.4.4.2のものを通過させる」の意味になります。

Note - PROTOCOL=ALLはすべてのIPプロトコルの意味ですが、ICMPは含まれません。ICMPの転送を有効にするには、ENABLE FIREWALL POLICYコマンドのICMP_FORWARDINGオプションを使う必要があります。

■ 次の例では、外部（ppp0）から内部のWebサーバー（4.4.4.2のTCPポート80番）へのアクセスのみを許可しています。ファイアウォールの基本ルールにより、その他のアドレス・ポートへのアクセスはこれまでどおり拒否されます。

ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=TCP IP=4.4.4.2 PORT=80 ↓

このコマンドは、「ppp0インターフェースで受信したTCPパケットのうち、終点IPアドレスが4.4.4.2で、終点ポートが80のものを通過させる」の意味になります。

■ 特定ホストからのみアクセスを許可する設定も可能です。これにはREMOTEIPパラメーターを使用します。次の例では、外部のホスト12.34.56.78からのみ内部（PRIVATE側）へのアクセスを許可しています。ファイアウォールの基本ルールにより、その他のホストからのアクセスはこれまでどおり拒否されます。

ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL REMOTEIP=12.34.56.78 ↓

このコマンドは、「ppp0インターフェースで受信したIPパケットのうち、始点IPアドレスが12.34.56.78のものを通過させる」の意味になります。

■ NATを使用しているインターフェースを通じてアクセスを受け入れる場合は、NATの変換前後の両方のアドレスを指定する必要があります。たとえば、192.168.1.2と4.4.4.2を一対一で変換するスタティックNATを設定している場合、外部（ppp0）から4.4.4.2（実際は192.168.1.2）へのアクセスを許可するには次のようにします。ファイアウォールの基本ルールにより、その他のホストに対するアクセスはこれまでどおり拒否されます。


ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL GBLIP=4.4.4.2 IP=192.168.1.2 ↓

このコマンドは、「ppp0インターフェースで受信したIPパケットのうち、終点IPアドレスが4.4.4.2のものを、終点アドレスを192.168.1.2に書き換えた上で通過させる」の意味になります。

Note - この設定が機能するためには、あらかじめスタティックNATの設定が必要です。この例では、次のような設定になります。また、下記のスタティックNATの設定だけでは、グローバル側からのパケットがファイアウォールの基本ルールで遮断されるため、前述のような許可ルールも必須です。スタティックNATの設定詳細については、「スタティックNAT」をご覧ください。

ADD FIREWALL POLICY=mynet NAT=STANDARD INT=eth0 IP=192.168.1.2 GBLINT=ppp0 GBLIP=4.4.4.2 ↓

■ スタティックNATを使用している場合、前例のようにすべてのIPパケットを通過させる設定だけでなく、特定のトラフィックだけを通過させる設定も可能です。たとえば、192.168.1.2と4.4.4.2を一対一で変換するスタティックNATを設定している場合、外部（ppp0）から4.4.4.2（実際は192.168.1.2）へのWebアクセス（終点ポートがTCP80番）だけを許可するには次のようにします。ファイアウォールの基本ルールにより、その他のホストに対するアクセスはこれまでどおり拒否されます。


ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=4.4.4.2 GBLPORT=80 IP=192.168.1.2 PORT=80 ↓

このコマンドは、「ppp0インターフェースで受信したIPパケットのうち、終点IPアドレスが4.4.4.2で終点ポートが80番のTCPパケットを、終点アドレスを192.168.1.2に書き換えた上で通過させる」の意味になります。

■ 外部からのトラフィックを許可するときのパラメーターの指定方法をまとめます

表 6：NATを使っていない場合

パラメーター 指定する内容

ACTION 外部から内部への転送を許可するためALLOWを指定します。

INTERFACE 外部（PUBLIC）インターフェースを指定します。

PROTOCOL 対象となるプロトコルを指定します。TCP、UDPを指定した場合はPORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です。

IP 終点IPアドレス。パケットの宛先となる内部ホストのIPアドレスです（範囲指定可）。省略時はすべての終点IPアドレスが対象となります。

PORT 終点ポート番号。パケットの宛先となる内部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。

REMOTEIP 始点IPアドレス。パケットの送信元となる外部ホストのIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象となります。

SOURCEPORT 始点ポート番号。パケットの送信元となる外部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります。

表 7：NATを使っている場合

パラメーター 指定する内容

ACTION 外部から内部への転送を許可するためALLOWを指定します。

INTERFACE 外部（PUBLIC）インターフェースを指定します。

PROTOCOL 対象となるプロトコルを指定します。TCP、UDPを指定した場合はGBLPORT、PORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です。

IP 転送後の終点IPアドレス。パケットの最終的な宛先となるプライベートアドレスで、内部ホストに実際に割り当てられているアドレスを示します。GBLIPで指定したグローバルアドレス（外から見た終点IPアドレス）に対応するアドレスを指定してください。

PORT 転送後の終点ポート番号。パケットの最終的な宛先となるポート番号で、内部ホストの実際のポート番号です。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。GBLPORTで指定したグローバル側ポート番号（外から見た終点ポート）に対応するポート番号を指定してください。

GBLIP 転送前の終点グローバルIPアドレス。外部から見た場合の終点IPアドレスです。NAT変換後のプライベートアドレス（最終的な宛先アドレス）はIPパラメーターで指定します。

GBLPORT 転送前の終点グローバルポート番号。外部から見た場合の終点ポート番号です。NAT変換後のプライベートポート番号（最終的な宛先ポート）はPORTパラメーターで指定します。

REMOTEIP 始点IPアドレス。パケットの送信元となる外部ホストのIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象となります。

SOURCEPORT 始点ポート番号。パケットの送信元となる外部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります。

インターフェースNAT

本製品のファイアウォールには、NAT（Network Address Translation）の機能が統合されています（ファイアウォールNAT）。ファイアウォールNATは、インターフェース単位で設定を行うため「インターフェースNAT」とも呼びます。

インターフェースNATの設定では、常に2つのインターフェース（INT、GBLINT）を指定する必要があります。パケットがこれら2つのインターフェース間で転送された場合に限ってアドレス変換が行われる、というのがインターフェースNATのポイントになります。以下、NATの種類ごとに例を挙げながら説明します。

スタティックNAT

スタティックNAT（Network Address Translation）は、ルーターなどの中継ノードでIPパケットのアドレスを付け替える機能です。スタティックNATでは、プライベートアドレスをグローバルアドレスに1対1で固定的に変換します。プライベートアドレスで運用しているサーバーを、ファイアウォールの外からはグローバルアドレスを持っているかのように見せかけることができます。

スタティックNATの設定は、グローバル側インターフェースがPPPであるかEthernetであるかによって異なります。以下、それぞれのケースについてスタティックNATの設定方法をまとめます。

ここでは、次のようなネットワーク構成を仮定します。

ISPからグローバルアドレス8個（1.1.1.0/29 = 1.1.1.0～1.1.1.7）を取得している
プライベート側（eth0）のネットワークアドレスは192.168.10.0/24
プライベート側のサーバー（192.168.10.5）をスタティックNATにより1.1.1.5として外部に公開する。

ADD FIREWALL POLICY NATコマンドでスタティックNATルールの設定を行い、ADD FIREWALL POLICY RULEコマンドでサーバーへのパケットを通過させるルールを追加します。

192.168.10.5→1.1.1.5のスタティックNATルールを設定します。スタティックNAT変換は、INT（eth0）で受信したIPパケットがGBLINT（ppp0）側にルーティングされたときに行われます。
1.1.1.5（192.168.10.5）宛てのパケットを通過させるルールを追加します。
なお、1.1.1.5の特定ポートだけに通信を限定させたい場合は、PROTOCOLパラメーターでプロトコルを指定し、GBLPORTパラメーターでグローバル側ポート番号を、PORTパラメーターでプライベート側ポート番号を指定します。次の例ではHTTPだけを許可しています。
Note - これらのルールを設定しないと、ファイアウォールの基本ルールにより、1.1.1.5宛てのパケットがppp0インターフェースで破棄されてしまいます。

ダイナミックENAT

ダイナミックENAT（Network Address Translation）は、ルーターなどの中継ノードでIPパケットのアドレスとポート番号を付け替えることにより、プライベートIPアドレスしか持たないホストがグローバルネットワークにアクセスできるようにする機能です。グローバルアドレスを1個しか割り当てられてない場合でも、ENATを利用することにより多くのホストがグローバルネットワークにアクセスできるようになります。

■ 次の例では、内部インターフェース側の全ホストが、外部インターフェースに割り当てられた1個のグローバルIPアドレスを共有して外部と通信します（各トラフィックはポート番号によって識別されます）。内部側の複数ホストが同時に外部と通信できます。INTERFACE（INTと省略）パラメーターにプライベート側インターフェース名を、GBLINTERFACE（GBLINTと省略）パラメーターにグローバル側インターフェース名を指定してください。

ADD FIREWALL POLICY=mynet NAT=ENHANCED INT=eth0 GBLINT=ppp0 ↓

このコマンドは、「eth0のインターフェースで受信したIPパケットがppp0側にルーティングされる場合、始点アドレスをppp0のインターフェースに割り当てられているグローバルIPアドレスに書き換えて送信する」の意味になります。また、外部からの戻りパケットは、終点アドレスに逆向きのアドレス変換（グローバル→プライベート）を施した上で内部の送信元に送り返されます。

■ 複数グローバルIPを割り当てられる専用線接続などのように、GBLINTで指定したインターフェースがUnnumberedの場合は、GBLIPパラメーターでダイナミックENAT用のIPアドレスを明示する必要があります。ISPから割り当てられたグローバルアドレスのうちの1個を指定してください。なお、Unnumbered、Numberedにかかわらず、GBLINTにはNAT変換時にパケットを送り出すインターフェースを指定してください。

ADD FIREWALL POLICY=mynet NAT=ENHANCED INT=eth0-1 GBLINT=ppp0 GBLIP=1.2.3.6 ↓

このコマンドは、「eth0-1のインターフェースで受信したIPパケットがppp0側にルーティングされる場合、始点アドレスをISPから割り当てられているグローバルIPアドレス1.2.3.6に書き換えて送信する」の意味になります。また、外部からの戻りパケットは、終点アドレスに逆向きのアドレス変換（グローバル→プライベート）を施した上で内部の送信元に送り返されます。

スタティックENAT（ポート/プロトコル転送）

端末型接続のように1個しかグローバルアドレスがない場合であっても、スタティックENAT（ポート/プロトコル転送）機能を用いることにより、グローバル側インターフェースの特定ポート宛てに送られたパケットを、内部ホストの特定ポートに転送することができます。この機能を利用すると、グローバルアドレスが1つしかない環境でも、複数のサーバー（サービス）を外部に公開することができます。

■ 次の例では、ルーターの（PPPインターフェースの）80番ポートに宛てられたTCPパケットを、LAN側のWebサーバー（192.168.10.2の80番ポート）に転送しています。また、ルーターの25番ポートに宛てられたTCPパケットを、LAN側のメールサーバー（192.168.10.3の25番ポート）に転送しています。この構成では、インターネット上のホストからは、ルーター自身がWebサーバーやメールサーバーであるかのように見えますが、実際にはプライベートIPアドレスを持つ内部のサーバーが応答します。

以下、コマンドラインが長くなるため適宜省略形を使っています。

スタティックENATは、ダイナミックENATを使用していることが前提となります。ここでは、LAN（eth0）側の全ホストが、WAN（ppp0）側に割り当てられたグローバルアドレスを使って外部と通信できるように設定します。
ルーターの80番ポートに届いたパケットを、LAN側のWebサーバー（192.168.10.2）に転送するためのルールを設定します。
このコマンドは、「ppp0インターフェースで受信したTCPパケットのうち、終点IPアドレスが1.2.3.4で終点ポートが80のものを、アドレス変換してホスト192.168.10.2の80番ポートに転送する」の意味になります。また、内部サーバーからの戻りパケットは、逆向きのアドレス変換（プライベート→グローバル）を施した上で送信元に送り返されます。

Note - グローバルIPアドレスが動的に割り当てられる場合は、GBLIPに0.0.0.0を指定します。
ルーターの25番ポートに届いたパケットを、LAN側のメールサーバー（192.168.10.3）に転送するためのルールを設定します。
このコマンドは、「ppp0インターフェースで受信したTCPパケットのうち、終点IPアドレスが1.2.3.4で終点ポートが25のものを、アドレス変換してホスト192.168.10.3の25番ポートに転送する」の意味になります。

■ 同じWell-knownポートを使うサーバーを複数公開したい場合、外部からのアクセスはいくらか変則的になりますが、GBLPORTをサーバーごとに変えることで可能となります。ここでは、内部に192.168.10.5、192.168.10.10の2つのWebサーバーがあるものとします。次の例では、外部から1.2.3.4のTCPポート80番へのアクセスは192.168.10.5に、同じくポート8080番へのアクセスは192.168.10.10のWebサービスに転送します。


ADD FIRE POLI=mynet RU=1 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=1.2.3.4 GBLPO=80 IP=192.168.10.5 PORT=80 ↓

ADD FIRE POLI=mynet RU=2 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=1.2.3.4 GBLPO=8080 IP=192.168.10.10 PORT=80 ↓

この場合、外部から192.168.10.10のWebサーバーにアクセスするには、URLの中でポート番号8080を指定する必要があります。ブラウザーのURL欄に次のように入力します。

http://1.2.3.4:8080/ ... （実際は192.168.10.10のWebサーバーにアクセスすることになる）

192.168.10.5のWebサーバーは標準のWebサービスポートである80番を使っているので、URLでポート番号を指定する必要はありません。

http://1.2.3.4/ ... （実際は192.168.10.5のWebサーバーにアクセスすることになる）

■ 少し特殊なケースですが、TCP/UDPポート番号ではなく、IPヘッダーのプロトコル番号をもとに内部への転送を行うこともできます。次の例では、PRIVATE側にあるIPv6ルーター（192.168.10.2）が、IPv4インターネット上のIPv6トンネルサーバー（12.34.56.78）との間にトンネルを張り、LANをIPv6ネットワークにトンネル接続しています。

インターネット上にトンネルを張るには、トンネルの両エンドに互いに到達可能なグローバルアドレスが必要ですが、この環境ではLAN側のIPv6ルーターにグローバルアドレスがありません。そこで、スタティックENATのプロトコル転送機能を利用して、本製品のWAN側インターフェース（1.2.3.4）宛てに届いたIPv6-over-IPv4トンネリングパケット（IPプロトコル41）を、LAN側のIPv6ルーターに転送する設定を行います。これにより、トンネルサーバーからは本製品のPPPインターフェースが、LAN側に存在するIPv6ルーターのインターフェースに見えます。

ADD FIRE POLI=mynet RU=1 AC=ALLOW INT=ppp0 PROTO=41 REMOTEIP=12.34.56.78 GBLIP=1.2.3.4 IP=192.168.10.2 ↓

このコマンドは、「ppp0インターフェースで受信したプロトコル番号41（IPv6）のIPパケットのうち、始点IPアドレスが12.34.56.78で終点IPアドレスが1.2.3.4のものを、アドレス変換してLAN側の192.168.10.2に転送する」の意味になります。また、内部からの戻りパケットは、逆向きのアドレス変換（プライベート→グローバル）を施した上で送信元に送り返されます。

■ スタティックENAT（ポート/プロトコル転送）の設定におけるパラメーターの指定方法をまとめます（ダイナミックENATの併用が必須です）

表 8

パラメーター 指定する内容

ACTION 外部から内部への転送を許可するので常にALLOWとなります。

INTERFACE 外部（PUBLIC）インターフェースを指定します。

PROTOCOL 転送するプロトコルを指定します。通常はTCPかUDPです。その場合、GBLPORTとPORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です。

GBLIP 転送前の終点IPアドレス。外部インターフェースに割り当てられたグローバルIPアドレスを指定します。IPCP（PPP）やDHCPなどで動的にアドレスを取得している場合は0.0.0.0を指定します。

GBLPORT 転送前の終点ポート番号。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。

IP 転送後の終点IPアドレス。転送先ホストのプライベートIPアドレスです。

PORT 転送後の終点ポート番号。転送先のポート番号です。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。

REMOTEIP 始点IPアドレス。外部の送信者のIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象になります。

SOURCEPORT 始点ポート番号。外部の送信者のポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります。

ルールの確認・修正・削除

■ ファイアウォールポリシーに設定されたルールの内容を確認するには、SHOW FIREWALL POLICYコマンドを使います。

■ ルールを修正するにはSET FIREWALL POLICY RULEコマンドを使います。

■ ルールを削除するにはDELETE FIREWALL POLICY RULEコマンドを使います。

ファイアウォールルールの処理順序

新しく開始されたセッションまたはフロー（以下、フローとします）の向きによって、マッチするルールがなかったときのデフォルトの動作が決定されます。PRIVATEインターフェース側から開始されたフローはデフォルト許可、PUBLIC側から開始されたフローはデフォルト拒否となります。以後、番号の若いものから順にルールがチェックされていきます。ひとつもマッチするルールがなかった場合は、最初に決めたデフォルトの動作を行います。
新規フローのプロトコルタイプ（PROTOCOL）と一致するルールがないかチェックします。プロトコルが一致するルールがなかった場合、デフォルトの動作を実行します。
プロトコルがTCPかUDPの場合、終点ポート（PORT）をチェックします。一致するルールがなかった場合はデフォルトの動作を実行します。
プロトコルがTCPかUDPの場合、始点ポート（SOURCEPORT）をチェックします。一致するルールがなかった場合はデフォルトの動作を実行します。
リモートIPアドレス（REMOTEIP）をチェックします。PRIVATE側からのフローでは終点IPアドレス、PUBLIC側からのフローでは始点IPアドレスです。一致するルールがなかった場合はデフォルトの動作を実行します。
ローカルIPアドレス（IPまたはGBLIP）をチェックします。PRIVATE側からのフローでは始点IPアドレス、PUBLIC側からのフローでは終点IPアドレスです。終点IPアドレスは、NATを使用している場合はPUBLIC側の送信元ホストから見えるグローバルIPアドレス（GBLIP）、NATを使用していない場合はPRIVATE側ホストのIPアドレス（IP）になります。

ファイアウォールの動作監視

ファイアウォールの運用にあたっては、ルールを適切かつ正しく設定することはもちろんですが、ファイアウォールの周辺でどのような活動が行われているかを調べることも重要です。本製品のログ機能を利用すれば、このような監視作業を効果的に行うことができます。

ログ

ファイアウォールの動作を監視する場合、ログはもっとも基本的な資料になります。デフォルトでは、攻撃などの重大イベントしか記録されませんので、以下のコマンドを実行して必要なログオプションを有効にしてください。

■ ファイアウォールで拒否されたパケットのログをとるには、ENABLE FIREWALL POLICYコマンドのLOGパラメーターに記録するパケットの種類を指定します。たとえば、ファイアウォールで拒否されたすべてのパケットを記録するには、次のようにします。

ENABLE FIREWALL POLICY=mynet LOG=DENY ↓

LOGパラメーターにはほかにもさまざまなオプションを指定できます。LOGパラメーターには複数の項目をカンマ区切りで指定することができます。

表 9：ファイアウォールのログオプション一覧

オプション名 対象パケット

INATCP 外部（PUBLIC側）からのTCPセッション開始を許可

INAUDP 外部からのUDPフロー開始を許可

INAICMP 外部からのICMP要求を許可

INAOTHER 外部からのIPフロー開始（TCP、UDP、ICMP以外）を許可

INALLOW 外部からのセッション/フロー開始を許可。INATCP、INAUDP、INAICMP、INAOTHERをすべて指定したのに等しい。

OUTATCP 内部（PRIVATE側）からのTCPセッション開始を許可

OUTAUDP 内部からのUDPフロー開始を許可

OUTAICMP 内部からのICMP要求を許可

OUTAOTHER 内部からのIPフロー開始（TCP、UDP、ICMP以外）を許可

OUTALLOW 内部からのセッション/フロー開始を許可。OUTATCP、OUTAUDP、OUTAICMP、OUTAOTHERをすべて指定したのと等しい。

ALLOW 内外からのセッション/フロー開始を許可

INDTCP 外部からのTCPセッション開始を遮断

INDUDP 外部からのUDPフロー開始を遮断

INDICMP 外部からのICMP要求を遮断

INDOTHER 外部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断

INDENY 外部からのセッション/フロー開始を遮断。INDTCP、INDUDP、INDICMP、INDOTHERをすべて指定したのに等しい。

OUTDTCP 内部からのTCPセッション開始を遮断

OUTDUDP 内部からのUDPフロー開始を遮断

OUTDICMP 内部からのICMP要求を遮断

OUTDOTHER 内部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断

OUTDENY 内部からのセッション/フロー開始を遮断。OUTDTCP、OUTDUDP、OUTDICMP、OUTDOTHERをすべて指定したのに等しい。

DENY 内外からのセッション/フロー開始を遮断

INDDTCP 外部からのTCPセッション開始を遮断し、IPパケットの先頭最大192バイトを記録

INDDUDP 外部からのUDPフロー開始を遮断し、IPパケットの先頭最大192バイトを記録

INDDICMP 外部からのICMP要求を遮断し、IPパケットの先頭最大192バイトを記録

INDDOTHER 外部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断し、IPパケットの先頭最大192バイトを記録

INDDUMP 外部からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録

OUTDDTCP 内部からのTCPセッション開始を遮断し、IPパケットの先頭最大192バイトを記録

OUTDDUDP 内部からのUDPフロー開始を遮断し、IPパケットの先頭最大192バイトを記録

OUTDDICMP 内部からのICMP要求を遮断し、IPパケットの先頭最大192バイトを記録

OUTDDOTHER 内部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断し、IPパケットの先頭最大192バイトを記録

OUTDDUMP 内部からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録

DENYDUMP 内外からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録

■ ファイアウォールに関するログは次のコマンドで見ることができます。

SHOW LOG MODULE=FIRE ↓

または

SHOW LOG TYPE=FIRE ↓

■ 大量のログメッセージが記録されている場合などに、最新のメッセージだけを見たい場合は、TAILオプションを付けます。


SHOW LOG MODULE=FIRE TAIL（最新の20メッセージを表示） ↓

SHOW LOG MODULE=FIRE TAIL=10（同10メッセージを表示） ↓

Manager > show log module=fire

Date/Time   S Mod  Type  SType Message
-------------------------------------------------------------------------------
28 10:39:45 4 FIRE FIRE  INDIC ICMP - Source 172.16.28.32 Dest 172.16.28.255
                               Type 9 Code 0
28 10:39:45 4 FIRE FIRE  INDIC bad ICMP message type to pass
28 10:40:05 4 FIRE FIRE  INDUD UDP - Source 172.16.28.120:137 Dest
                               172.16.28.255:137
28 10:40:05 4 FIRE FIRE  INDUD flow rejected by policy rule
28 10:40:06 4 FIRE FIRE  INDUD UDP - Source 172.16.28.120:137 Dest
                               172.16.28.255:137
28 10:40:06 4 FIRE FIRE  INDUD flow rejected by policy rule
28 10:40:41 3 FIRE FIRE  OUTDT TCP - Source 192.168.10.1:1045 Dest
                               172.16.28.1:139
28 10:40:41 3 FIRE FIRE  OUTDT flow rejected by policy rule
-------------------------------------------------------------------------------

■ ファイアウォールのログオプションのうち、INATCP、INAUDP、INAICMP、INAOTHER、INALLOWに対応するメッセージのログレベル（Severity）は2です。ログ機能のデフォルト設定では、ログレベル3以上のメッセージだけを保存するようになっているため、SHOW LOGコマンドを実行しても前記のメッセージは表示されません。これらのメッセージが記録されるようにするには、ログメッセージフィルターの設定を変更する必要があります。

たとえば、次のコマンドを実行すれば、ファイアウォール関連のメッセージはすべて、ログレベルに関係なく「TEMPORARY」ログ（RAM上に記録されるログ）に保存されるようになります。


ADD LOG OUTPUT=TEMPORARY MODULE=FIRE ↓

デバッグオプション

ファイアウォールポリシーのデバッグオプションをオンにするには、ENABLE FIREWALL POLICYコマンドのDEBUGパラメーターを使います。オプションには、パケットダンプの表示（PKT）と処理プロセスの表示（PROCESS）があります。

■ デバッグオプションPKTをオンにすると、コンソールにIPパケットの先頭56バイトが16進ダンプされるようになります。

ENABLE FIREWALL POLICY=mynet DEBUG=PKT ↓

Manager >
FIRE ICMP  45000024 c6070000 01018e04 ac101c20 ac101cff 0900421e 01020168
           96571c20 00000000

Manager >
FIRE TCP   4500003c c87c4000 40060c3d ac101cb4 ac101ca0 05e70017 3398573f
           00000000 a0027d78 19d20000 020405b4 0402080a 0d82ac62 00000000

■ デバッグオプションPROCESSをオンにすると、コンソールにIPパケットの処理過程が逐次表示されるようになります。

ENABLE FIREWALL POLICY=mynet DEBUG=PROCESS ↓

FIRE UDP   4500004d 218a0000 4011dc10 c0a80a05 ac101c01 ff780035 00393422
           067f0100 00010000 00000000 076f6374 6f766572 0274770e 616c6c69

FIREWALL new flow - UDP - session ID 8b2e
FIREWALL packet sent to UDP handler
FIREWALL flow 8b2e found for packet
FIREWALL packet sent to UDP handler
FIREWALL packet passed - UDP OUT - passed by rule 0

FIRE UDP   4500004d 218b0000 4011dc0f c0a80a05 ac101c01 ff770035 00394f22
           06800100 00010000 00000000 076f6374 6f766572 0274770e 616c6c69

FIREWALL new flow - UDP - session ID 9a14
FIREWALL packet sent to UDP handler
FIREWALL flow 9a14 found for packet
FIREWALL packet sent to UDP handler
FIREWALL packet passed - TCP OUT - passed by rule 0

FIRE TCP   4500003c 218c0000 4006db77 c0a80a05 ac101cb4 e2360017 d71d5199
           00000000 a0024000 1d930000 020405b4 01030300 0101080a 000064b7

FIREWALL new flow - TCP - session ID a9c5
FIREWALL packet sent to TCP handler
FIREWALL flow a9c5 found for packet
FIREWALL packet sent to TCP handler direction IN
FIREWALL flow a9c5 found for packet
FIREWALL packet sent to TCP handler direction OUT
FIREWALL flow a9c5 found for packet
FIREWALL packet sent to TCP handler direction OUT
FIREWALL flow a9c5 found for packet
FIREWALL packet sent to TCP handler direction IN
FIREWALL flow a9c5 found for packet
FIREWALL packet sent to TCP handler direction IN

■ デバッグオプションを無効にするには、DISABLE FIREWALL POLICYコマンドのDEBUGパラメーターを使います。

DISABLE FIREWALL POLICY=mynet DEBUG=PKT ↓

■ 現在有効なデバッグオプションはSHOW FIREWALL POLICYコマンドで確認します。「Enabled Debug Options」に有効なオプションが表示されます。

ファイアウォールセッションの確認

■ 現在ファイアウォールを介して行われている通信セッションを確認するにはSHOW FIREWALL SESSIONコマンドを使います。

Manager > show firewall session

Policy : net
Current Sessions
-------------------------------------------------------------------------------
3612 UDP      IP: 192.168.10.100:64499      Remote IP: 172.17.28.1:53
          Gbl IP: 172.17.28.185:13842   Gbl Remote IP: 172.17.28.1:53
     Start time ........................... 17:44:35 07-Mar-2002
     Seconds to deletion .................. 264
158f UDP      IP: 192.168.10.100:64500      Remote IP: 172.17.28.1:53
          Gbl IP: 172.17.28.185:5519    Gbl Remote IP: 172.17.28.1:53
     Start time ........................... 17:44:13 07-Mar-2002
     Seconds to deletion .................. 246
7527 UDP      IP: 192.168.10.100:64501      Remote IP: 172.17.28.1:53
          Gbl IP: 172.17.28.185:29991   Gbl Remote IP: 172.17.28.1:53
     Start time ........................... 17:41:11 07-Mar-2002
     Seconds to deletion .................. 60
5e9e TCP      IP: 192.168.10.100:65484      Remote IP: 172.17.28.103:22
          Gbl IP: 172.17.28.185:24222   Gbl Remote IP: 172.17.28.103:22
     TCP state ............................ closed
     Start time ........................... 17:35:17 07-Mar-2002
     Seconds to deletion .................. 54
-------------------------------------------------------------------------------

■ 各セッションの統計情報を確認するには、SHOW FIREWALL SESSIONコマンドにCOUNTERオプションを付けます。

Manager > show firewall session counter

Policy : net
Current Sessions
-------------------------------------------------------------------------------
43fa TCP      IP: 192.168.10.100:65480      Remote IP: 172.17.22.10:80
          Gbl IP: 172.17.28.185:17402   Gbl Remote IP: 172.17.22.10:80
     Packets from private IP .............. 8
     Octets from private IP ............... 558
     Packets to private IP ................ 8
     Octets to private IP ................. 6881
     TCP state ............................ closed
     Start time ........................... 17:51:26 07-Mar-2002
     Seconds to deletion .................. 300
c296 TCP      IP: 192.168.10.100:65483      Remote IP: 172.17.24.1:23
          Gbl IP: 172.17.28.185:49814   Gbl Remote IP: 172.17.24.1:23
     Packets from private IP .............. 11
     Octets from private IP ............... 555
     Packets to private IP ................ 12
     Octets to private IP ................. 554
     TCP state ............................ timeWait
     Start time ........................... 17:49:33 07-Mar-2002
     Seconds to deletion .................. 246
ea27 UDP      IP: 192.168.10.100:64433      Remote IP: 172.17.28.1:53
          Gbl IP: 172.17.28.185:59943   Gbl Remote IP: 172.17.28.1:53
     Packets from private IP .............. 1
     Octets from private IP ............... 75
     Packets to private IP ................ 1
     Octets to private IP ................. 149
     Start time ........................... 17:50:05 07-Mar-2002
     Seconds to deletion .................. 270
-------------------------------------------------------------------------------

■ 特定のセッションを強制的に終了させるには、SHOW FIREWALL SESSIONコマンドで該当セッションのIDを確認してから、次のコマンドを実行します。

DELETE FIREWALL SESSION=c296 ↓

その他設定

本製品のファイアウォールは、各種コマンドを使って細かい動作の変更が可能です。ここでは主要な設定についてのみ説明します。詳細はコマンドリファレンスをご覧ください。

■ pingパケット（ICMP echo、echo reply）とICMP Destination Unreachableを通す
デフォルトではICMPはすべて通しません（ルーター自身へのpingには応答します）。

ENABLE FIREWALL POLICY=mynet ICMP_F=PING,UNREACH ↓

Note - ICMP Destination Unreachableメッセージ（ICMPタイプ3）は、IPホストが通信経路上の最大パケットサイズ（Path MTU）を知る目的で使用することがあります。そのため、本メッセージを遮断すると、一部のサイトにアクセスできなくなる可能性があります。

ICMP_FORWARDINGにALLを指定すると（pingだけでなく）すべてのICMPメッセージを通すようになりますが、セキュリティー的にはお勧めできません。

なお、ファイアウォールでは、ICMPについては方向の制御ができません。すなわち、ICMPパケットは双方向とも通すか、まったく通さないかの設定しかできません。

内部からのPING（echo）は通すが、外部からのPING（Echo）は拒否するといった設定をしたい場合は、IPフィルターを併用してください。IPフィルターではICMPパケットに対する細かい制御が可能です。外部（ppp0）からのみPINGを拒否するには、次のようなフィルターを設定します。IPフィルターの詳細については、「IP」の章をご覧ください。


ADD IP FILTER=0 SO=0.0.0.0 PROTO=ICMP ICMPTYPE=ECHO ACTION=EXCLUDE ↓

ADD IP FILTER=0 SO=0.0.0.0 ACTION=INCLUDE ↓

SET IP INT=ppp0 FILTER=0 ↓

■ pingの転送をオフにするには、次のコマンドを実行します。

DISABLE FIREWALL POLICY=mynet ICMP_F=PING ↓

■ 本製品自身への外部からのpingに応答しないようにする
デフォルトでは応答します。また、内部からのPINGには常に応答します。

DISABLE FIREWALL POLICY=mynet PING ↓

■ 外部からのident（TCP 113番ポート）要求に対して、RSTを返すようにする
デフォルトでは、ファイアウォール外部のSMTP（メール）サーバーなどからのident要求に対して本製品が代理応答します（identプロキシー機能）。しかし、外部のSMTP（メール）サーバーなどへの接続に時間がかかりすぎる場合は、DISABLE FIREWALL POLICY IDENTPROXYコマンドを実行してidentプロキシーをオフにしてみてください。これにより、外部からのident要求に対してただちにRSTを返すようになります（こちらの実装のほうが一般的なようです）。

DISABLE FIREWALL POLICY=mynet IDENTPROXY ↓

なお、identプロキシー機能がオンのときは、ident要求に対して本製品がproxyuserというユーザー名を返答します。

設定例

次に、独自ルールを追加した、より実際的な設定例を示します。ここでは、次のようなネットワーク構成を例に説明します。

ここでは、次のようなセキュリティーポリシーを持つファイアウォールを設定します。

ICMPはPing(echo/echo reply)とUnreachableのみ双方向とも許可。
UDPは双方向とも禁止。ただし、UDPのDNSサービス（53）のみ双方向とも許可する。
TCPは内部から外部へのみコネクションを張ることができる。ただし、以下は例外とする。
- 内部のDNSサーバー（4.4.4.2）のDNSサービス（53）には外部からTCPのコネクションを張れる。
- 内部のメールサーバー（4.4.4.2）のSMTPサービス（25）には外部からTCPのコネクションを張れる。
- 内部のWebサーバー（4.4.4.3）のHTTPサービス（80）には外部からTCPのコネクションを張れる。
eth0-0とeth0-1をPRIVATE、ppp0をPUBLICインターフェースとして設定する。
ファイアウォールでブロックしたパケットをログに記録する。

ルーターの設定

専用線接続の設定を行います。
IPモジュールを有効にします。
各インターフェースにIPアドレスを設定します。WAN側がUnnumberedであるため、LAN側（eth0）をマルチホーミングして、同一セグメント上にグローバルIPのサブネット（4.4.4.0/29）とプライベートIPのサブネット（192.168.1.0/24）を作成しています。
デフォルトルートを設定します。
ファイアウォールを有効にします。
ファイアウォールポリシーを作成します。
ファイアウォールで拒否したパケットをログに記録するよう設定します。
identプロキシー機能を無効にし、外部からのident要求に対してただちにRSTを返すようにします。
ファイアウォールポリシーの適用対象となるインターフェースを指定します。
- eth0-0とeth0-1をPRIVATE（内部）インターフェースに設定します。
- ppp0をPUBLIC（外部）インターフェースに設定します。
以下、ポリシーの詳細設定を行います。
- ICMP echo/echo replyとUnreachableを双方向で許可します。
- eth0-1配下のプライベートLANからインターネットに出られるよう、ダイナミックENATを設定します。グローバルアドレスとしては、4.4.4.6を使います。
- UDPは、 DNS サービス（53）のみ双方向で許可します。
- その他のUDPトラフィックは双方向で禁止します（外部からのUDPはデフォルトで禁止されるため設定する必要はありません）。
- 内部のDNS サーバー（4.4.4.2）のDNSサービス（53）には外部からTCPのコネクションを張れるようにします。
- 内部のメールサーバー（4.4.4.2）のSMTPサービス（25）には外部からTCPのコネクションを張れるようにします。
- 内部のWebサーバー（4.4.4.3）のHTTPサービス（80）には外部からTCPのコネクションを張れるようにします。

設定は以上です。

PN: J613-M2973-02 Rev.D

送信元→宛先	PRIVATE	PUBLIC	その他
PRIVATE	○	○	×
PUBLIC	×	○	○
その他	×	○	○

送信元→宛先I/F	PRIVATE	PUBLIC	その他
PRIVATE	○	○	×
PUBLIC	×	×	×
その他	×	○	○

パラメーター	指定する内容
ACTION	内部から外部への転送を拒否するためDENYを指定します。
INTERFACE	内部（PRIVATE）インターフェースを指定します。
PROTOCOL	対象となるプロトコルを指定します。TCP、UDPを指定した場合はPORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です。
REMOTEIP	終点IPアドレス。パケットの宛先となる外部ホストのIPアドレスです（範囲指定可）。省略時はすべての終点IPアドレスが対象となります。
PORT	終点ポート番号。パケットの宛先となる外部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。
IP	始点IPアドレス。パケットの送信元となる内部ホストのIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象となります。
SOURCEPORT	始点ポート番号。パケットの送信元となる内部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります。

オプション名	対象パケット
INATCP	外部（PUBLIC側）からのTCPセッション開始を許可
INAUDP	外部からのUDPフロー開始を許可
INAICMP	外部からのICMP要求を許可
INAOTHER	外部からのIPフロー開始（TCP、UDP、ICMP以外）を許可
INALLOW	外部からのセッション/フロー開始を許可。INATCP、INAUDP、INAICMP、INAOTHERをすべて指定したのに等しい。
OUTATCP	内部（PRIVATE側）からのTCPセッション開始を許可
OUTAUDP	内部からのUDPフロー開始を許可
OUTAICMP	内部からのICMP要求を許可
OUTAOTHER	内部からのIPフロー開始（TCP、UDP、ICMP以外）を許可
OUTALLOW	内部からのセッション/フロー開始を許可。OUTATCP、OUTAUDP、OUTAICMP、OUTAOTHERをすべて指定したのと等しい。
ALLOW	内外からのセッション/フロー開始を許可
INDTCP	外部からのTCPセッション開始を遮断
INDUDP	外部からのUDPフロー開始を遮断
INDICMP	外部からのICMP要求を遮断
INDOTHER	外部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断
INDENY	外部からのセッション/フロー開始を遮断。INDTCP、INDUDP、INDICMP、INDOTHERをすべて指定したのに等しい。
OUTDTCP	内部からのTCPセッション開始を遮断
OUTDUDP	内部からのUDPフロー開始を遮断
OUTDICMP	内部からのICMP要求を遮断
OUTDOTHER	内部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断
OUTDENY	内部からのセッション/フロー開始を遮断。OUTDTCP、OUTDUDP、OUTDICMP、OUTDOTHERをすべて指定したのに等しい。
DENY	内外からのセッション/フロー開始を遮断
INDDTCP	外部からのTCPセッション開始を遮断し、IPパケットの先頭最大192バイトを記録
INDDUDP	外部からのUDPフロー開始を遮断し、IPパケットの先頭最大192バイトを記録
INDDICMP	外部からのICMP要求を遮断し、IPパケットの先頭最大192バイトを記録
INDDOTHER	外部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断し、IPパケットの先頭最大192バイトを記録
INDDUMP	外部からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録
OUTDDTCP	内部からのTCPセッション開始を遮断し、IPパケットの先頭最大192バイトを記録
OUTDDUDP	内部からのUDPフロー開始を遮断し、IPパケットの先頭最大192バイトを記録
OUTDDICMP	内部からのICMP要求を遮断し、IPパケットの先頭最大192バイトを記録
OUTDDOTHER	内部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断し、IPパケットの先頭最大192バイトを記録
OUTDDUMP	内部からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録
DENYDUMP	内外からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録