設定例集#24: PPPoEによる端末型インターネット接続(UTM各機能の併用)
PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続します。
この例は、接続時にアドレスを1つ割り当てられる端末型の基本設定です。
ダイナミックENATで1個のアドレスを共用し、ファイアウォールで外部からの不正アクセスを防止します。
また、LAN側クライアントの設定を簡単にするため、DNSリレーとDHCPサーバーも利用します。
さらに、本例ではUTMの各機能を併用するための設定も行います。
この例では、アプリケーションコントロール(DPI)機能において、サンドバイン社が提供するアプリケーションシグネチャデータベースを用いていますが、製品内蔵のアプリケーションシグネチャデータベースを使う場合の設定については、備考をご覧ください。
構成
| ISP接続用ユーザー名 | user@isp |
| ISP接続用パスワード | isppasswd |
| PPPoEサービス名 | 指定なし |
| WAN側IPアドレス | 動的割り当て(IPCP) |
| DNSサーバー | 自動取得(IPCP) |
| WAN側物理インターフェース | eth1 |
| WAN側(ppp0)IPアドレス | 接続時にISPから取得 |
| LAN側(eth0)IPアドレス | 192.168.10.1/24 |
| DHCPサーバー機能 | 有効 |
| DHCPプール名 | pool10 |
| リース時間 | 2時間 |
| 対象サブネット | 192.168.10.0/24 |
| デフォルトゲートウェイ | 192.168.10.1 |
| DNSサーバー | 192.168.10.1 |
| 提供するIPアドレスの範囲 | 192.168.10.100~192.168.10.131(32個) |
AT-NFV-APLの事前設定
本設定例は、あらかじめ AT-NFV-APL側で以下のような設定を行っていることを前提としています。使用するインターフェースの番号や数は適宜変更してかまいません。
事前設定の流れについては「AT-NFV-APL」/「準備」をご覧ください。
管理IPアドレス
詳細は「AT-NFV-APL」/「ネットワーク基本設定」をご覧ください。| br0 | 192.168.10.254/24 |
ブリッジ
詳細は「AT-NFV-APL」/「ネットワーク基本設定」をご覧ください。| eth1~eth9 | 1 | 1 |
| eth10 | ||
仮想インターフェース割り当て
vFirewallアプリケーションインスタンスの初期設定時には、下記のように仮想インターフェースを割り当てます。詳細は「AT-NFV-APL」/「AW+ vFirewall」をご覧ください。
インターフェース名 |
タイプ |
VLAN ID |
インターフェース |
|
| eth0 | Virtual | 1 | - | 192.168.10.1/24 |
| eth1 | Physical | - | eth10 | 未指定 |
ルーターの設定
- WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface eth1 encapsulation ppp 0
- PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
・IPCPによるDNSサーバーアドレスの取得要求(ppp ipcp dns)
・LCP EchoによるPPP接続状態の確認(keepalive)
・IPCPによるIPアドレスの取得要求(ip address negotiated)
・ユーザー名(ppp username)
・パスワード(ppp password)
・MSS書き換え(ip tcp adjust-mss)
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface ppp0 ppp ipcp dns request keepalive ip address negotiated ppp username user@isp ppp password isppasswd ip tcp adjust-mss pmtu
- LAN側インターフェースeth0のIPアドレスは、AT-NFV-APLの事前設定時に設定済みのため、次のコマンドを手で入力する必要はありません。
interface eth0 ip address 192.168.10.1/24
- アプリケーションコントロール(DPI)機能の設定を行います。
これには、dpi、provider、enableの各コマンドを使います。
アプリケーションコントロール(DPI)の詳細は「UTM」/「アプリケーションコントロール(DPI)」をご覧ください。
dpi provider procera enable
- IPレピュテーション(IPアドレスブラックリスト)機能の設定を行います。
これには、ip-reputation、provider、category action、protectの各コマンドを使います。
IPレピュテーション(IPアドレスブラックリスト)の詳細は「UTM」/「IPレピュテーション」をご覧ください。
ip-reputation provider lac proofpoint category LAC action deny category Bot action deny category ChatServer action deny protect
- 侵入防御(IPS)機能の設定を行います。
これには、ips、category action、protectの各コマンドを使います。
ここでは、HTTPに関するエラーや異常を検出したときに該当パケットを破棄するよう設定しています。
侵入防御(IPS)の詳細は「UTM」/「侵入防御(IPS)」をご覧ください。
ips category http-events action deny protect
- マルウェアプロテクション(ストリーム型アンチウイルス)機能の設定を行います。
これには、malware-protection、provider kaspersky、protectの各コマンドを使います。
マルウェアプロテクション(ストリーム型アンチウイルス)の詳細は「UTM」/「マルウェアプロテクション(ストリーム型アンチウイルス)」をご覧ください。
malware-protection provider kaspersky protect
- ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
すべてのIPアドレスを表すゾーン「all」を作成します。
これには、zone、network、ip subnetの各コマンドを使います。
zone all network dhcp ip subnet 0.0.0.0/0
- 内部ネットワークを表すゾーン「private」を作成します。
また、Webコントロールで使用するためのホスト「hostA」を定義します。
これには、zone、network、ip subnet、host、ip addressの各コマンドを使います。
zone private network lan ip subnet 192.168.10.0/24 host hostA ip address 192.168.10.10
- 外部ネットワークを表すゾーン「public」を作成します。
zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host ppp0 ip address dynamic interface ppp0
- ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、dportの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。
DHCPパケットを表すカスタムアプリケーション「dhcp」を定義します。
application dhcp protocol udp dport 67 to 68
- Webコントロール(URLフィルタリング)機能の設定を行います。
これには、web-control、action、provider、rule、protectの各コマンドを使います。
ここでは、デフォルトアクションを許可に設定し、特定のサイトだけを禁止するブラックリスト方式の動作に設定しています。
なお、rule 10により、ホスト「hostA」(192.168.10.10)からの通信はすべて許可するよう設定しています。
Webコントロール(URLフィルタリング)の詳細は「UTM」/「Webコントロール」をご覧ください。
web-control action permit provider digitalarts rule 10 permit any from private.lan.hostA rule 20 deny nudity from private rule 30 deny pornography from private protect
- 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。
ここでは、アプリケーションコントロール(DPI)機能によってShareおよびWinnyの通信と判別された内→外のトラフィックを破棄するよう設定しています。
・rule 10 - 内部から外部への Share(sharep2p)通信を破棄します
・rule 20 - 内部から外部への Winny(winny)通信を破棄します
・rule 30 - DHCPによる通信を許可します
・rule 40 - 内部から内部への通信を許可します
・rule 50 - 内部から外部への通信を許可します
・rule 60 - UTM各機能のデータベース更新・問い合わせ用に、本製品のWAN側インターフェースから外部へのDNS通信を許可します
・rule 70 - URLカテゴリーデータベースへの問い合わせ用に、本製品のWAN側インターフェースから外部へのHTTP通信を許可します
・rule 80, 90, 100 - IPレピュテーションデータベース、マルウェアシグネチャデータベース、アプリケーションシグネチャデータベースのダウンロード用に、本製品のWAN側インターフェースから外部へのHTTPS、SSL、TCP通信を許可します
・rule 110 - 本製品のWAN側インターフェースから外部への通信について、DPIによる判別が完了していないトラフィックを許可します
(DPI機能の有効時には事前定義アプリケーション「dns」よりもDPIアプリケーション「dns」が優先されるため、ルール「50」を機能させるためにこのルールが必要です)
ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
firewall rule 10 deny sharep2p from private.lan to public rule 20 deny winny from private.lan to public rule 30 permit dhcp from all.dhcp to all.dhcp rule 40 permit any from private.lan to private.lan rule 50 permit any from private.lan to public rule 60 permit dns from public.wan.ppp0 to public.wan rule 70 permit http from public.wan.ppp0 to public.wan rule 80 permit https from public.wan.ppp0 to public.wan rule 90 permit ssl from public.wan.ppp0 to public.wan rule 100 permit TCP from public.wan.ppp0 to public.wan rule 110 permit undecided from public.wan.ppp0 to public.wan protect
- LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
これには、nat、rule、enableの各コマンドを使います。
NATの詳細は「UTM」/「NAT」をご覧ください。
nat rule 10 masq any from private to public enable
- LAN側ネットワークに接続されているコンピューターのためにDHCPサーバー機能の設定を行います。
DHCPサーバー機能の詳細は「IP付加機能」/「DHCPサーバー」をご覧ください。
これには、ip dhcp poolコマンドでDHCPプールを作成し、以下の情報を設定します。
・サブネット(network)
・リースするIPアドレス(range)
・デフォルトゲートウェイ(default-router)
・DNSサーバーアドレス(dns-server)
・リース時間(lease)
ip dhcp pool pool10 network 192.168.10.0 255.255.255.0 range 192.168.10.100 192.168.10.131 default-router 192.168.10.1 dns-server 192.168.10.1 lease 0 2 0
- DHCPサーバーを有効化します。これには、service dhcp-serverコマンドを使います。
service dhcp-server
- DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
ip dns forwarding
- デフォルト経路をPPPインターフェースppp0に向けます。これにはip routeコマンドを使います。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
ip route 0.0.0.0/0 ppp0
- 以上で設定は完了です。
end
備考:製品内蔵のアプリケーションシグネチャデータベースを使う場合
サンドバイン社が提供するアプリケーションシグネチャデータベースではなく、製品内蔵のデータベースを使用する場合は一部の設定を変更する必要があります。以下、変更点だけを示します。
- アプリケーションシグネチャデータベースの提供元を製品内蔵のもの(built-in)に変更します。
dpi provider built-in enable
- ファイアウォールの設定を変更します。
アプリケーション「sharep2p」と「winny」は製品内蔵データベースでは検知できないため、検知可能なアプリケーションに変更します。
ここでは例として「facebook」と「youtube」を使用し、該当アプリケーションを破棄するよう設定します。
また、rule 50以降をまとめて1つのルールにします。
firewall rule 10 deny facebook from private to public rule 20 deny youtube from private to public rule 30 permit any from private to private rule 40 permit any from private to public rule 50 permit any from public.wan.ppp0 to public protect
設定の保存
設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。awplus# copy running-config startup-config
Building configuration...
[OK]
また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]
その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。
ファイアウォール、各種UTM機能のログについて
ファイアウォールのログを記録するには、次のコマンド(log(filter))を実行します。awplus(config)# log buffered level informational facility local5
記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall
各種UTM機能のログを記録するには、次のコマンド(log(filter))を実行します。
awplus(config)# log buffered level informational facility local5
記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、各種UTM機能が出力したログメッセージだけを表示させています。
awplus# show log | include local5
ルーターのコンフィグ
! interface eth1 encapsulation ppp 0 ! interface ppp0 ppp ipcp dns request keepalive ip address negotiated ppp username user@isp ppp password isppasswd ip tcp adjust-mss pmtu ! interface eth0 ip address 192.168.10.1/24 ! dpi provider procera enable ! ip-reputation provider lac proofpoint category LAC action deny category Bot action deny category ChatServer action deny protect ! ips category http-events action deny protect ! malware-protection provider kaspersky protect ! zone all network dhcp ip subnet 0.0.0.0/0 ! zone private network lan ip subnet 192.168.10.0/24 host hostA ip address 192.168.10.10 ! zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host ppp0 ip address dynamic interface ppp0 ! application dhcp protocol udp dport 67 to 68 ! web-control action permit provider digitalarts rule 10 permit any from private.lan.hostA rule 20 deny nudity from private rule 30 deny pornography from private protect ! firewall rule 10 deny sharep2p from private.lan to public rule 20 deny winny from private.lan to public rule 30 permit dhcp from all.dhcp to all.dhcp rule 40 permit any from private.lan to private.lan rule 50 permit any from private.lan to public rule 60 permit dns from public.wan.ppp0 to public.wan rule 70 permit http from public.wan.ppp0 to public.wan rule 80 permit https from public.wan.ppp0 to public.wan rule 90 permit ssl from public.wan.ppp0 to public.wan rule 100 permit TCP from public.wan.ppp0 to public.wan rule 110 permit undecided from public.wan.ppp0 to public.wan protect ! nat rule 10 masq any from private to public enable ! ip dhcp pool pool10 network 192.168.10.0 255.255.255.0 range 192.168.10.100 192.168.10.131 default-router 192.168.10.1 dns-server 192.168.10.1 lease 0 2 0 ! service dhcp-server ! ip dns forwarding ! ip route 0.0.0.0/0 ppp0 ! end