[index] AT-AR2050V/AT-AR3050S/AT-AR4050S コマンドリファレンス 5.4.6

設定例集#49: Ethernet上でのファイアウォール・スタティックNAT

ISPから提供された情報
使用できるアドレス	10.0.0.0/29（10.0.0.0〜10.0.0.7）
接続形態	LAN型（アドレス8個固定）
ルーターの基本設定
WAN側物理インターフェース	eth1
WAN側（eth1）IPアドレス	10.0.0.1/29
LAN側（vlan1）IPアドレス	192.168.10.1/24
デフォルトゲートウェイ	10.0.0.6（既設ルーターのLAN側）

• ISPからはアドレスブロック10.0.0.0/29（10.0.0.0〜10.0.0.7）を固定的に割り当てられています。アドレスは8個ですが、10.0.0.0（ネットワークアドレス）と10.0.0.7（ブロードキャストアドレス）は使用できないため、端末に設定できるアドレスは10.0.0.1〜10.0.0.6の6個となります。このうち、10.0.0.6はすでに既設ルーターのLAN側（内側）インターフェースに割り当てられています。
  
  
• ISPとは既設ルーターによって接続されています。既設ルーターではアドレス変換やパケットフィルタリングを行わず、既設ルーターのLAN側セグメントに接続した本製品でファイアウォールを動作させ、ここでアクセス制御を行うものとします。
  
  
• 本製品のWAN側（eth1）インターフェースには10.0.0.1を割り当てます。これで残るアドレスは10.0.0.2〜10.0.0.5の4個となります。これらのアドレスはサーバー用に使いますが、直接サーバーに割り当てることはせずに、スタティックNATを介して使用します。
  
  
• 本製品のLAN側（vlan1）インターフェースにはプライベートアドレス192.168.10.1を割り当て、クライアントはすべてプライベートアドレスで運用します。
  
  
• サーバーにもプライベートアドレスを設定し、本製品のLAN側セグメントに配置します。サーバーは既設ルーター・本製品のあるセグメントに置くこともできますが、ファイアウォールで保護したいため、本製品の内側に配置しています。また、外部からアクセスさせるため、スタティックNATを使って外からはグローバルアドレスを持っているように見せかけます。変換ルールは次のとおりとします。
  
  • Webサーバー：192.168.10.2 → 10.0.0.2
    
  • SMTPサーバー：192.168.10.3 → 10.0.0.3
    
  • DNSサーバー：192.168.10.4 → 10.0.0.4
    
  
  
• WAN側インターフェースでリミテッドローカルプロキシーARP機能を有効にし、サーバーのグローバルアドレス宛てのARP要求に代理応答できるようにします。これはEthernet上でスタティックNATを使用する場合に必要な設定です。
  
  
• ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
  
  
• LAN側のクライアントがインターネットにアクセスできるよう、ダイナミックENATを使用します。グローバルアドレスには、WAN側のインターフェースアドレス（10.0.0.1）を共用します。
  

1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル（RSTP）を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
   スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
   

   no spanning-tree rstp enable

2. WANポートeth1にIPアドレスを設定します。これにはip addressコマンドを使います。
   また、リミテッドローカルプロキシーARP機能を有効にし、サーバーのグローバルアドレス宛てのARP要求に代理応答するよう設定します。これには、ip limited-local-proxy-arpコマンドを使います。
   IPインターフェースの詳細は「IPルーティング」/「IPインターフェース」をご覧ください。
   

   interface eth1 ip limited-local-proxy-arp ip address 10.0.0.1/29

3. LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
   IPインターフェースの詳細は「IPルーティング」/「IPインターフェース」をご覧ください。
   

   interface vlan1 ip address 192.168.10.1/24

4. WANポートで有効にしたリミテッドローカルプロキシーARP機能の代理応答対象アドレスを指定します。これには、local-proxy-arpコマンドを使います。
   

   local-proxy-arp 10.0.0.0/29

5. ファイアウォールやNATのルール作成時に使うエンティティー（通信主体）を定義します。
   エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
   
   内部ネットワークを表すゾーン「private」を作成します。
   これには、zone、network、ip subnet、host、ip addressの各コマンドを使います。
   

   zone private network lan ip subnet 192.168.10.0/24 host dns ip address 192.168.10.4 host smtp ip address 192.168.10.3 host web ip address 192.168.10.2

6. 外部ネットワークを表すゾーン「public」を作成します。
   

   zone public network wan ip subnet 0.0.0.0/0 interface eth1 host eth1 ip address 10.0.0.1

7. スタティックNAT用のグローバルIPアドレスを表すゾーン「global」を作成します。
   

   zone global network ip8 ip subnet 10.0.0.0/29 host dns ip address 10.0.0.4 host smtp ip address 10.0.0.3 host web ip address 10.0.0.2

8. ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
   これには、application、protocol、sport、dportの各コマンドを使います。
   アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
   
   ここでは、TCP上のDNS通信を表すカスタムアプリケーション「dns_tcp」を定義します。
   

   application dns_tcp protocol tcp sport any dport 53

9. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
   これには、firewall、rule、protectの各コマンドを使います。
   
   ・rule 10 - 内部から内部への通信を許可します（ここでは本製品・端末間の通信）
   ・rule 20 - 内部から外部への通信を許可します
   ・rule 30 - 内部からサーバー（グローバルアドレス）への通信を許可します
   ・rule 40 - サーバー（グローバルアドレス）間の通信を許可します
   ・rule 50 - サーバー（グローバルアドレス）から外部への通信を許可します
   ・rule 60 - 外部から内部のWebサーバーへの通信を許可します（NATルール20とペアで設定します）
   ・rule 70 - 外部から内部のSMTPサーバーへの通信を許可します（NATルール30とペアで設定します）
   ・rule 80 - 外部から内部のDNSサーバーへのUDP通信を許可します（NATルール40とペアで設定します）
   ・rule 90 - 外部から内部のDNSサーバーへのTCP通信を許可します（NATルール50とペアで設定します）
   
   ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
   

   firewall rule 10 permit any from private to private rule 20 permit any from private to public rule 30 permit any from private to global rule 40 permit any from global to global rule 50 permit any from global to public rule 60 permit http from public to private.lan.web rule 70 permit smtp from public to private.lan.smtp rule 80 permit dns from public to private.lan.dns rule 90 permit dns_tcp from public to private.lan.dns protect

10. NAT機能の設定を行います。
    これには、nat、rule、enableの各コマンドを使います。
    
    ・rule 10 - 内部のコンピューターがダイナミックENAT機能を使用できるようにします。「with src public.wan.eth1」により、変換後のアドレスとしてWAN側インターフェースの10.0.0.1を指定しています。
    ・rule 20 - WAN側で受信したWebサーバーのグローバルアドレス宛てのHTTPパケットを、宛先をプライベートアドレスに変換して内部のWebサーバーに転送します
    ・rule 30 - WAN側で受信したSMTPサーバーのグローバルアドレス宛てのSMTPパケットを、宛先をプライベートアドレスに変換して内部のSMTPサーバーに転送します
    ・rule 40 - WAN側で受信したDNSサーバーのグローバルアドレス宛てのUDP DNSパケットを、宛先をプライベートアドレスに変換して内部のDNSサーバーに転送します
    ・rule 50 - WAN側で受信したDNSサーバーのグローバルアドレス宛てのTCP DNSパケットを、宛先をプライベートアドレスに変換して内部のDNSサーバーに転送します
    
    NATの詳細は「UTM」/「NAT」をご覧ください。
    

    nat rule 10 masq any from private to public with src public.wan.eth1 rule 20 portfwd http from public to global.ip8.web with dst private.lan.web rule 30 portfwd smtp from public to global.ip8.smtp with dst private.lan.smtp rule 40 portfwd dns from public to global.ip8.dns with dst private.lan.dns rule 50 portfwd dns_tcp from public to global.ip8.dns with dst private.lan.dns enable

11. デフォルト経路を既設ルーターのLAN側インターフェース（10.0.0.6）に向けて設定します。これには、ip routeコマンドを使います。
    IP経路設定の詳細は「IPルーティング」/「経路制御」をご覧ください。
    

    ip route 0.0.0.0/0 10.0.0.6

12. 以上で設定は完了です。
    

    end

awplus# copy running-config startup-config ↓ Building configuration... [OK]

awplus# write memory ↓ Building configuration... [OK]

awplus(config)# log buffered level informational program kernel msgtext Firewall ↓

awplus# show log | include firewall ↓

! no spanning-tree rstp enable ! interface eth1 ip limited-local-proxy-arp ip address 10.0.0.1/29 ! interface vlan1 ip address 192.168.10.1/24 ! local-proxy-arp 10.0.0.0/29 ! zone private network lan ip subnet 192.168.10.0/24 host dns ip address 192.168.10.4 host smtp ip address 192.168.10.3 host web ip address 192.168.10.2 ! zone public network wan ip subnet 0.0.0.0/0 interface eth1 host eth1 ip address 10.0.0.1 ! zone global network ip8 ip subnet 10.0.0.0/29 host dns ip address 10.0.0.4 host smtp ip address 10.0.0.3 host web ip address 10.0.0.2 ! application dns_tcp protocol tcp sport any dport 53 ! firewall rule 10 permit any from private to private rule 20 permit any from private to public rule 30 permit any from private to global rule 40 permit any from global to global rule 50 permit any from global to public rule 60 permit http from public to private.lan.web rule 70 permit smtp from public to private.lan.smtp rule 80 permit dns from public to private.lan.dns rule 90 permit dns_tcp from public to private.lan.dns protect ! nat rule 10 masq any from private to public with src public.wan.eth1 rule 20 portfwd http from public to global.ip8.web with dst private.lan.web rule 30 portfwd smtp from public to global.ip8.smtp with dst private.lan.smtp rule 40 portfwd dns from public to global.ip8.dns with dst private.lan.dns rule 50 portfwd dns_tcp from public to global.ip8.dns with dst private.lan.dns enable ! ip route 0.0.0.0/0 10.0.0.6 ! end

(C) 2015 - 2016 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.L