[index] CentreCOM VX811R コマンドリファレンス 1.0.00

ファイアウォール/概要・基本設定

  - 基本設定
   - インターフェースと基本ルール
    - ICMPパケットの扱い
    - 本体インターフェース宛ての通信
  - ルールの追加
   - トラフィックを制限する
   - アクセスを許可する
   - インターフェースNAT
    - スタティックNAT
    - ダイナミックNAT
    - ダイナミックENAT
    - スタティックENAT
   - ルールの確認・修正・削除
   - ファイアウォールルールの処理順序
  - ファイアウォールの動作監視
   - ログ
   - ファイアウォールセッションの確認
  - その他設定

本製品には、IPトラフィックフローの開始・終了を認識し、これに応じて動的なパケットフィルタリングを行うステートフルインスペクション型のファイアウォールが搭載されています。ここでは、ファイアウォールの基本的な設定方法について説明します。

基本設定

本製品をファイアウォールとして使用する上で最低限必要な手順は次のとおりです。ここでは次のような構成のネットワークを想定しています。IPの設定までは終わっているものと仮定します。

ファイアウォール機能を有効にします。
ファイアウォールポリシーを作成します。ポリシー名は自由に付けられます。
ファイアウォールポリシーの適用対象となるIPインターフェースを指定します。内側をPRIVATE、外側をPUBLICに設定します。

基本設定は以上です。

これにより、手順3で指定したインターフェース間のトラフィックに基本的なルールが適用され、外部（PUBLIC）から内部（PRIVATE）にはパケットが転送されなくなります。一方、内部から外部への通信(ICMP は除く)は自由に行うことができます。ステートフルインスペクションにより、内部から通信を開始したときにはその状態が記憶されるため、戻りのパケットを通すために特別な設定をする必要はありません。

本製品では、上記の基本設定に独自のルールを追加することで、内部と外部のインターフェース間のやりとりを制御します。

■ 上記の基本設定だけでも十分実用的な運用が可能ですが、下記の設定を追加することにより、さらに快適に使用することができます。ここでは例だけを示します。詳細は他のセクションをご覧ください。

拒否したパケットのログをとりたい場合は、次のコマンドを実行します。
端末型接続のようにグローバルアドレスが1つしかない場合は、ダイナミックENATを使います。

ここまでを基本設定と考えていただいてもかまいません。

インターフェースと基本ルール

ファイアウォールのインターフェースは次の3種類に分類されます。

PRIVATE（内部）インターフェース：ファイアウォールで保護すべき内部ネットワーク側インターフェース。TYPE=PRIVATEでポリシーに追加されたインターフェースのこと
PUBLIC（外部）インターフェース：ファイアウォールの外側に位置するインターフェース。TYPE=PUBLICでポリシーに追加されたインターフェースのこと
その他のインターフェース：ファイアウォールの管理対象でないインターフェース

各インターフェースの配下にあるホスト間の通信可否は次のとおりです。ただしICMPは除きます。詳細は次節「ICMPパケットの扱い」をご覧ください。

表 1：インターフェース間の通信可否（ICMPを除く）

送信元→宛先 PRIVATE PUBLIC その他

PRIVATE ○ ○ ×

PUBLIC × ○ ○

その他 × ○ ○

PRIVATE側からPUBLIC側へは通信を開始できますが、PRIVATE以外のインターフェース（PUBLIC、その他）からPRIVATE側への通信はすべて遮断します。これが基本ルールです。

ファイアウォールの動作をさらに細かく制御したい場合は、ADD FIREWALL POLICY RULEコマンドでPRIVATEかPUBLICインターフェースに独自ルールを追加します。独自ルールには次の種類があります。

拒否ルール：基本ルールでは素通しされるトラフィックを遮断する。通常PRIVATEインターフェースに設定する。
許可ルール：基本ルールでは遮断されるトラフィックを通過させる。通常PUBLICインターフェースに設定する。

Note - 「その他」インターフェースに独自ルールを設定することはできません。

ICMPパケットの扱い

ファイアウォールは、前記の基本ルールと独自ルールにしたがってトラフィックを制御しますが、ICMPパケットも同様、ルールを設定することによって、ICMP パケットを制御します。

本体インターフェース宛ての通信

また、各インターフェース配下から本製品のインターフェース宛ての通信（Telnetなど）可否は次のとおりです。

表 2：インターフェース配下から本体インターフェース宛ての通信可否

送信元→宛先I/F PRIVATE PUBLIC その他

PRIVATE ○ ○ ×

PUBLIC × × ×

その他 × ○ ○

Note - 「その他」インターフェース配下から本体に対してTelnetが可能な点にご注意ください。

ルールの追加

上記の基本設定にルールを追加するには、ADD FIREWALL POLICY RULEコマンドを使います。以下、いくつか例を示します。

Note - ルールを追加するときは、RULEパラメーターで指定するルール番号が重ならないようにしてください。また、ルールのチェックは番号の若い順に行われ、最初にマッチしたものが適用されるため、ルールの順序にも留意してください。

Note - ファイアウォールルールの設定ではコマンドラインが長くなりがちなので、適宜省略形を用いるようにしてください。以下の例でも省略形を使っています。

トラフィックを制限する

デフォルトでは内部から外部へのパケットをすべて通しますが（ICMPを除く）、予期せぬ発呼や情報の漏洩を防ぐため、不要なトラフィックを遮断することができます。

■ 次の例では、内部（vlan1）からのMS-Networksパケット（Windowsネットワークなどで使用されるパケット）を遮断しています。ファイアウォールの基本ルールにより、その他のパケットはこれまでどおり通過が許可されます。


ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan1 PROT=TCP PORT=135 ↓

ADD FIREWALL POLICY=mynet RULE=2 AC=DENY INT=vlan1 PROT=UDP PORT=135 ↓

ADD FIREWALL POLICY=mynet RULE=3 AC=DENY INT=vlan1 PROT=TCP PORT=137-139 ↓

ADD FIREWALL POLICY=mynet RULE=4 AC=DENY INT=vlan1 PROT=UDP PORT=137-139 ↓

ADD FIREWALL POLICY=mynet RULE=5 AC=DENY INT=vlan1 PROT=TCP PORT=445 ↓

5つのコマンドは、「vlan1インターフェースで受信したTCP、UDPパケットのうち、終点ポート番号が135、137～139のもの、および、TCPパケットのうち終点ポート番号が445番のものを破棄する」の意味になります。

■ 特定アドレスへのアクセスを禁止することもできます。この場合はREMOTEIPパラメーターで終点IPアドレスを指定します。IPアドレスは範囲で指定することも可能です。次の例では、内部から12.34.56.0～12.34.56.255の範囲へのアクセスを禁止しています。

ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan1 PROT=ALL REMOTEIP=12.34.56.0-12.34.56.255 ↓

このコマンドは、「vlan1インターフェースで受信したIPパケットのうち、終点IPアドレスが12.34.56.0～12.34.56.255のものを破棄する」の意味になります。

■ また、特定の内部ホストが外部にアクセスできないようにすることもできます。この場合はIPパラメーターで始点IPアドレスを指定します。IPアドレスは範囲で指定することも可能です。次の例では、内部ホスト192.168.10.3からのパケットを破棄するよう設定しています。

ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan1 PROT=ALL IP=192.168.10.3 ↓

このコマンドは、「vlan1インターフェースで受信したIPパケットのうち、始点IPアドレスが192.168.10.3のものを破棄する」の意味になります。

■ 内部からのトラフィックを制限するときのパラメーターの指定方法をまとめます

表 3

パラメーター 指定する内容

ACTION 内部から外部への転送を拒否するためDENYを指定します。

INTERFACE 内部（PRIVATE）インターフェースを指定します。

PROTOCOL 対象となるプロトコルを指定します。TCP、UDPを指定した場合はPORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です。

REMOTEIP 終点IPアドレス。パケットの宛先となる外部ホストのIPアドレスです（範囲指定可）。省略時はすべての終点IPアドレスが対象となります。

PORT 終点ポート番号。パケットの宛先となる外部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。

IP 始点IPアドレス。パケットの送信元となる内部ホストのIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象となります。

SOURCEPORT 始点ポート番号。パケットの送信元となる内部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります。

アクセスを許可する

デフォルトでは外部からのパケットをすべて拒否しますが、内部のWebサーバーにだけはアクセスさせたいような場合に、特定のIPアドレス、または、IPアドレス・ポート宛てのパケットのみ通過を許可する設定ができます。ただし、外部からのパケットを許可することはファイアウォールに穴をあけることであり、セキュリティー低下のリスクが伴いますので設定には十分ご注意ください。

■ 次の例では、PRIVATE・PUBLIC間でNATを使用していないことを前提に、外部（ppp0）から内部ホスト4.4.4.2へのアクセスを許可しています。ファイアウォールの基本ルールにより、その他のホストに対するアクセスはこれまでどおり拒否されます。

ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL IP=4.4.4.2 ↓

このコマンドは、「ppp0インターフェースで受信したIPパケットのうち、終点IPアドレスが4.4.4.2のものを通過させる」の意味になります。

Note - PROTOCOL=ALLはすべてのIPプロトコルの意味ですが、ICMPは含まれません。ICMPについては「PROTOCOL=ALL」を指定していたとしても、別途ICMPのルールを有効にしておかないとファイアウォールを通過できません。ICMP を転送したい場合は ADD FIREWALL POLICY RULE を参照して下さい。

■ 次の例では、外部（ppp0）から内部のWebサーバー（4.4.4.2のTCPポート80番）へのアクセスのみを許可しています。ファイアウォールの基本ルールにより、その他のアドレス・ポートへのアクセスはこれまでどおり拒否されます。

ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=TCP IP=4.4.4.2 PORT=80 ↓

このコマンドは、「ppp0インターフェースで受信したTCPパケットのうち、終点IPアドレスが4.4.4.2で、終点ポートが80のものを通過させる」の意味になります。

■ 特定ホストからのみアクセスを許可する設定も可能です。これにはREMOTEIPパラメーターを使用します。次の例では、外部のホスト12.34.56.78からのみ内部（PRIVATE側）へのアクセスを許可しています。ファイアウォールの基本ルールにより、その他のホストからのアクセスはこれまでどおり拒否されます。

ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL REMOTEIP=12.34.56.78 ↓

このコマンドは、「ppp0インターフェースで受信したIPパケットのうち、始点IPアドレスが12.34.56.78のものを通過させる」の意味になります。

■ NATを使用しているインターフェースを通じてアクセスを受け入れる場合は、NATの変換前後の両方のアドレスを指定する必要があります。たとえば、192.168.1.2と4.4.4.2を一対一で変換するスタティックNATを設定している場合、外部（ppp0）から4.4.4.2（実際は192.168.1.2）へのアクセスを許可するには次のようにします。ファイアウォールの基本ルールにより、その他のホストに対するアクセスはこれまでどおり拒否されます。


ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL GBLIP=4.4.4.2 IP=192.168.1.2 ↓

このコマンドは、「ppp0インターフェースで受信したIPパケットのうち、終点IPアドレスが4.4.4.2のものを、終点アドレスを192.168.1.2に書き換えた上で通過させる」の意味になります。

Note - この設定が機能するためには、あらかじめスタティックNATの設定が必要です。この例では、次のような設定になります。また、下記のスタティックNATの設定だけでは、グローバル側からのパケットがファイアウォールの基本ルールで遮断されるため、前述のような許可ルールも必須です。スタティックNATの設定詳細については、「スタティックNAT」をご覧ください。

ADD FIREWALL POLICY=mynet NAT=STANDARD INT=vlan1 IP=192.168.1.2 GBLINT=ppp0 GBLIP=4.4.4.2 ↓

■ スタティックNATを使用している場合、前例のようにすべてのIPパケットを通過させる設定だけでなく、特定のトラフィックだけを通過させる設定も可能です。たとえば、192.168.1.2と4.4.4.2を一対一で変換するスタティックNATを設定している場合、外部（ppp0）から4.4.4.2（実際は192.168.1.2）へのWebアクセス（終点ポートがTCP80番）だけを許可するには次のようにします。ファイアウォールの基本ルールにより、その他のホストに対するアクセスはこれまでどおり拒否されます。


ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=4.4.4.2 GBLPORT=80 IP=192.168.1.2 PORT=80 ↓

このコマンドは、「ppp0インターフェースで受信したIPパケットのうち、終点IPアドレスが4.4.4.2で終点ポートが80番のTCPパケットを、終点アドレスを192.168.1.2に書き換えた上で通過させる」の意味になります。

■ 外部からのトラフィックを許可するときのパラメーターの指定方法をまとめます

表 4：NATを使っていない場合

パラメーター 指定する内容

ACTION 外部から内部への転送を許可するためALLOWを指定します。

INTERFACE 外部（PUBLIC）インターフェースを指定します。

PROTOCOL 対象となるプロトコルを指定します。TCP、UDPを指定した場合はPORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です。

IP 終点IPアドレス。パケットの宛先となる内部ホストのIPアドレスです（範囲指定可）。省略時はすべての終点IPアドレスが対象となります。

PORT 終点ポート番号。パケットの宛先となる内部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。

REMOTEIP 始点IPアドレス。パケットの送信元となる外部ホストのIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象となります。

SOURCEPORT 始点ポート番号。パケットの送信元となる外部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります。

表 5：NATを使っている場合

パラメーター 指定する内容

ACTION 外部から内部への転送を許可するためALLOWを指定します。

INTERFACE 外部（PUBLIC）インターフェースを指定します。

PROTOCOL 対象となるプロトコルを指定します。TCP、UDPを指定した場合はGBLPORT、PORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です。

IP 転送後の終点IPアドレス。パケットの最終的な宛先となるプライベートアドレスで、内部ホストに実際に割り当てられているアドレスを示します。GBLIPで指定したグローバルアドレス（外から見た終点IPアドレス）に対応するアドレスを指定してください。

PORT 転送後の終点ポート番号。パケットの最終的な宛先となるポート番号で、内部ホストの実際のポート番号です。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。GBLPORTで指定したグローバル側ポート番号（外から見た終点ポート）に対応するポート番号を指定してください。

GBLIP 転送前の終点グローバルIPアドレス。外部から見た場合の終点IPアドレスです。NAT変換後のプライベートアドレス（最終的な宛先アドレス）はIPパラメーターで指定します。

GBLPORT 転送前の終点グローバルポート番号。外部から見た場合の終点ポート番号です。NAT変換後のプライベートポート番号（最終的な宛先ポート）はPORTパラメーターで指定します。

REMOTEIP 始点IPアドレス。パケットの送信元となる外部ホストのIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象となります。

SOURCEPORT 始点ポート番号。パケットの送信元となる外部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります。

インターフェースNAT

本製品のファイアウォールには、NAT（Network Address Translation）の機能が統合されています（ファイアウォールNAT）。ファイアウォールNATは、インターフェース単位で設定を行うため「インターフェースNAT」とも呼びます。

インターフェースNATの設定では、常に2つのインターフェース（INT、GBLINT）を指定する必要があります。パケットがこれら2つのインターフェース間で転送された場合に限ってアドレス変換が行われる、というのがインターフェースNATのポイントになります。以下、NATの種類ごとに例を挙げながら説明します。

スタティックNAT

スタティックNATは、プライベートアドレスをグローバルアドレスに1対1で固定的に変換するNATです。

アドレスが固定なので、プライベート側、グローバル側のどちらからでも通信を開始できます（ただし、グローバル側から通信を開始できるようにするには、明示的な許可ルールの設定が必要です）。プライベートアドレスで運用しているサーバーを、ファイアウォールの外からはグローバルアドレスを持っているかのように見せかけることができます。

■ スタティックNATの設定に使うパラメーターは次のとおりです。ここで「内IF」はPRIVATEインターフェース、「外IF」はPUBLICインターフェース、「内IP」はNAT前のプライベートアドレス、「外IP」はNAT後のグローバルアドレスを示します。


ADD FIREWALL POLICY=net NAT=STANDARD INT=内IF GBLINT=外IF IP=内IP GBLIP=外IP ↓

パケットを「内IF」から「外IF」に転送したとき、始点IPアドレスが「内IP」であれば「外IP」に書き換えます。
パケットを「外IF」で受信したとき、終点IPアドレスが「外IP」であれば「内IP」に書き換えます。

■ スタティックNATの設定をしていても、外側から内側への通信は基本ルールにより拒否されます。外側からの通信開始を可能にするには、「外IF」に次のような許可ルールを設定してください。


ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=外IF IP=内IP GBLIP=外IP ↓

■ スタティックNATの設定は、グローバル側インターフェースがPPPであるか、Ethernet/VLANであるかによって異なります。以下、それぞれのケースについてスタティックNATの設定方法をまとめます。

ここでは、次のようなネットワーク構成を仮定します。

ISPからグローバルアドレス8個（1.1.1.0/29 = 1.1.1.0～1.1.1.7）を取得している
プライベート側（vlan1）のネットワークアドレスは192.168.10.0/24
プライベート側のサーバー（192.168.10.5）をスタティックNATにより1.1.1.5として外部に公開する。

グローバル側がPPPの場合、ADD FIREWALL POLICY NATコマンドでスタティックNATルールの設定を行い、ADD FIREWALL POLICY RULEコマンドでサーバーへのパケットを通過させるルールを追加します。

192.168.10.5→1.1.1.5のスタティックNATルールを設定します。スタティックNAT変換は、INT（vlan1）で受信したIPパケットがGBLINT（ppp0）側にルーティングされたときに行われます。
1.1.1.5（192.168.10.5）宛てのパケットを通過させるルールを追加します。
なお、1.1.1.5の特定ポートだけに通信を限定させたい場合は、PROTOCOLパラメーターでプロトコルを指定し、GBLPORTパラメーターでグローバル側ポート番号を、PORTパラメーターでプライベート側ポート番号を指定します。次の例ではHTTPだけを許可しています。
Note - これらのルールを設定しないと、ファイアウォールの基本ルールにより、1.1.1.5宛てのパケットがppp0インターフェースで破棄されてしまいます。

ダイナミックNAT

ダイナミックNATは、プライベート側インターフェースで受信したパケットの始点アドレスを、あらかじめプールされたグローバルアドレス内の使用されていないアドレスに動的変換する多対多のNATです。グローバルアドレスが固定でないため、グローバル側から通信を開始することはできません。

Note - ダイナミックNATは、他のNATに比べてメリットが少ないためあまり使われません。

■ ダイナミックNATの設定に使うパラメーターは次のとおりです。ここで、「内IF」はPRIVATEインターフェース、「外IF」はPUBLICインターフェース、「外IP範囲」はNAT後のグローバルアドレスとして使うアドレス範囲を示します。


ADD FIREWALL POLICY=net NAT=STANDARD INT=内IF GBLINT=外IF GBLIP=外IP範囲

パケットを「内IF」から「外IF」に転送したとき、始点IPアドレスを「外IP範囲」内の空いているアドレスに書き換えます。また、変換前後のアドレスの組み合わせ（内IP・外IP）をテーブルに登録します。
パケットを「外IF」で受信したとき、終点IPアドレスが「外IP範囲」内であれば、テーブルを検索し、終点IPアドレスを「内IP」に書き換えます。

■ ダイナミックNATを使う場合、「外IF」がEthernetかVLANのときは「外IP範囲」へのARPに対して本製品が代理応答する必要があります。そのためには、「外IP範囲」へのスタティック経路を優先度0で登録してください。

たとえば、グローバルアドレスとして1.1.1.2～1.1.1.4を使うダイナミックNATを設定する場合、次のような経路を登録してください（PRIVATE側インターフェースをvlan1とします）。「PREF=0」を忘れないようご注意ください。


ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan1 GBLINT=eth0 GBLIP=1.1.1.2-1.1.1.4 ↓

ADD IP ROUTE=1.1.1.2 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0 ↓

ADD IP ROUTE=1.1.1.3 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0 ↓

ADD IP ROUTE=1.1.1.4 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0 ↓

Note - この方法（「外IP」へのスタティック経路を登録する方法）は、グローバル側からの通信開始を前提とするスタティックNATのときには使えません。

ダイナミックENAT

ダイナミックENAT（Network Address Translation）は、ルーターなどの中継ノードでIPパケットのアドレスとポート番号を付け替えることにより、プライベートIPアドレスしか持たないホストがグローバルネットワークにアクセスできるようにする機能です。グローバルアドレスを1個しか割り当てられてない場合でも、ENATを利用することにより多くのホストがグローバルネットワークにアクセスできるようになります。ダイナミックENATではグローバル側から通信を開始することはできませんが、次節の「スタティックENAT」を併用すればグローバル側からの通信も可能です。

■ ダイナミックENATの設定に使うパラメーターは次のとおりです。ここで、「内IF」はPRIVATEインターフェース、「外IF」はPUBLICインターフェース、「外IP」はNAT後のグローバルアドレスを示します。


ADD FIREWALL POLICY=net NAT=ENHANCED INT=内IF GBLINT=外IF [GBLIP=外IP]

パケットを「内IF」から「外IF」に転送したとき、始点IPアドレスを「外IF」のアドレス（GBLIPが指定されているときは「外IP」）に、始点ポートを未使用のポート番号に書き換えます。また、変換前後のアドレス・ポートの組み合わせ（内IP・内ポート・外IP・外ポート）をテーブルに登録します。
パケットを「外IF」で受信したとき、終点IPアドレスが「外IF」のアドレス（GBLIPが指定されているときは「外IP」）であれば、終点ポートをキーにテーブルを検索し、終点IPアドレスを「内IP」に、終点ポートを「内ポート」に書き換えます。

■ 次の例では、内部インターフェース側の全ホストが、外部インターフェースに割り当てられた1個のグローバルIPアドレスを共有して外部と通信します（各トラフィックはポート番号によって識別されます）。内部側の複数ホストが同時に外部と通信できます。INTERFACE（INTと省略）パラメーターにプライベート側インターフェース名を、GBLINTERFACE（GBLINTと省略）パラメーターにグローバル側インターフェース名を指定してください。

ADD FIREWALL POLICY=mynet NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓

このコマンドは、「vlan1のインターフェースで受信したIPパケットがppp0側にルーティングされる場合、始点アドレスをppp0のインターフェースに割り当てられているグローバルIPアドレスに書き換えて送信する」の意味になります。また、外部からの戻りパケットは、終点アドレスに逆向きのアドレス変換（グローバル→プライベート）を施した上で内部の送信元に送り返されます。

スタティックENAT

端末型接続のように1個しかグローバルアドレスがない場合であっても、スタティックENAT（ポート/プロトコル転送）機能を用いることにより、グローバル側インターフェースの特定ポート宛てに送られたパケットを、内部ホストの特定ポートに転送することができます。この機能を利用すると、グローバルアドレスが1つしかない環境でも、複数のサーバー（サービス）を外部に公開することができます。

■ スタティックENATは単独では使用できません。必ず最初にダイナミックENATの設定をする必要があります。前節の説明の繰り返しになりますが、再度ダイナミックENATの設定に必要なパラメーターを挙げます。


ADD FIREWALL POLICY=net NAT=ENHANCED INT=内IF GBLINT=外IF ↓

■ スタティックENATの設定に使うパラメーターは次のとおりです。ここで、「外IF」はPUBLICインターフェース、「プロトコル」はTCP、UDPなどの上位プロトコル、「外IP」はグローバルアドレス、「外ポート」は転送前のポート番号、「内IP」はプライベートアドレス、「内ポート」は転送先のポート番号を示します。


ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=外IF PROT=プロトコル GBLIP=外IP GBLPORT=外ポート IP=内IP PORT=内ポート ↓

パケットを「外IF」で受信したとき、プロトコルが「プロトコル」で、終点IPアドレスが「外IP」、終点ポートが「外ポート」であれば、それぞれ「内IP」「内ポート」に書き換えます。

Note - スタティックENATの設定はADD FIREWALL POLICY RULEコマンドで行います。

Note - スタティックENAT単独では使用できません。必ずダイナミックENATと組み合わせて設定してください。

■ 次の例では、ルーターの（PPPインターフェースの）80番ポートに宛てられたTCPパケットを、LAN側のWebサーバー（192.168.10.2の80番ポート）に転送しています。また、ルーターの25番ポートに宛てられたTCPパケットを、LAN側のメールサーバー（192.168.10.3の25番ポート）に転送しています。この構成では、インターネット上のホストからは、ルーター自身がWebサーバーやメールサーバーであるかのように見えますが、実際にはプライベートIPアドレスを持つ内部のサーバーが応答します。

以下、コマンドラインが長くなるため適宜省略形を使っています。

スタティックENATは、ダイナミックENATを使用していることが前提となります。ここでは、LAN（vlan1）側の全ホストが、WAN（ppp0）側に割り当てられたグローバルアドレスを使って外部と通信できるように設定します。
ルーターの80番ポートに届いたパケットを、LAN側のWebサーバー（192.168.10.2）に転送するためのルールを設定します。
このコマンドは、「ppp0インターフェースで受信したTCPパケットのうち、終点IPアドレスが1.2.3.4で終点ポートが80のものを、アドレス変換してホスト192.168.10.2の80番ポートに転送する」の意味になります。また、内部サーバーからの戻りパケットは、逆向きのアドレス変換（プライベート→グローバル）を施した上で送信元に送り返されます。

Note - グローバルIPアドレスが動的に割り当てられる場合は、GBLIPに0.0.0.0を指定します。
ルーターの25番ポートに届いたパケットを、LAN側のメールサーバー（192.168.10.3）に転送するためのルールを設定します。
このコマンドは、「ppp0インターフェースで受信したTCPパケットのうち、終点IPアドレスが1.2.3.4で終点ポートが25のものを、アドレス変換してホスト192.168.10.3の25番ポートに転送する」の意味になります。

■ 同じWell-knownポートを使うサーバーを複数公開したい場合、外部からのアクセスはいくらか変則的になりますが、GBLPORTをサーバーごとに変えることで可能となります。ここでは、内部に192.168.10.5、192.168.10.10の2つのWebサーバーがあるものとします。次の例では、外部から1.2.3.4のTCPポート80番へのアクセスは192.168.10.5に、同じくポート8080番へのアクセスは192.168.10.10のWebサービスに転送します。


ADD FIRE POLI=mynet RU=1 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=1.2.3.4 GBLPO=80 IP=192.168.10.5 PORT=80 ↓

ADD FIRE POLI=mynet RU=2 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=1.2.3.4 GBLPO=8080 IP=192.168.10.10 PORT=80 ↓

この場合、外部から192.168.10.10のWebサーバーにアクセスするには、URLの中でポート番号8080を指定する必要があります。ブラウザーのURL欄に次のように入力します。

http://1.2.3.4:8080/ ... （実際は192.168.10.10のWebサーバーにアクセスすることになる）

192.168.10.5のWebサーバーは標準のWebサービスポートである80番を使っているので、URLでポート番号を指定する必要はありません。

http://1.2.3.4/ ... （実際は192.168.10.5のWebサーバーにアクセスすることになる）

■ スタティックENATの設定におけるパラメーターの指定方法をまとめます（ダイナミックENATの併用が必須です）

表 6

パラメーター 指定する内容

ACTION 外部から内部への転送を許可するので常にALLOWとなります

INTERFACE 外部（PUBLIC）インターフェースを指定します

PROTOCOL 転送するプロトコルを指定します。通常はTCPかUDPです。その場合、GBLPORTとPORTの指定も必要です。また、プロトコル番号による指定も可能です。ただし、スタティックENATでは外部から内部にICMPを転送することはできません

GBLIP 転送前の終点IPアドレス。外部インターフェースに割り当てられたグローバルIPアドレスを指定します。IPCP（PPP）やDHCPなどで動的にアドレスを取得している場合は0.0.0.0を指定します

GBLPORT 転送前の終点ポート番号。PROTOCOLにTCPかUDPを指定した場合にのみ必要です

IP 転送後の終点IPアドレス。転送先ホストのプライベートIPアドレスです

PORT 転送後の終点ポート番号。転送先のポート番号です。PROTOCOLにTCPかUDPを指定した場合にのみ必要です

REMOTEIP 始点IPアドレス。外部の送信者のIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象になります

SOURCEPORT 始点ポート番号。外部の送信者のポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります

ルールの確認・修正・削除

■ ファイアウォールポリシーに設定されたルールの内容を確認するには、SHOW FIREWALL POLICYコマンドを使います。

■ ルールを修正するにはSET FIREWALL POLICY RULEコマンドを使います。

■ ルールを削除するにはDELETE FIREWALL POLICY RULEコマンドを使います。

ファイアウォールルールの処理順序

新しく開始されたセッションまたはフロー（以下、フローとします）の向きによって、マッチするルールがなかったときのデフォルトの動作が決定されます。PRIVATEインターフェース側から開始されたフローはデフォルト許可、PUBLIC側から開始されたフローはデフォルト拒否となります。以後、番号の若いものから順にルールがチェックされていきます。ひとつもマッチするルールがなかった場合は、最初に決めたデフォルトの動作を行います。
新規フローのプロトコルタイプ（PROTOCOL）と一致するルールがないかチェックします。プロトコルが一致するルールがなかった場合、デフォルトの動作を実行します。
プロトコルがTCPかUDPの場合、終点ポート（PORT）をチェックします。一致するルールがなかった場合はデフォルトの動作を実行します。
プロトコルがTCPかUDPの場合、始点ポート（SOURCEPORT）をチェックします。一致するルールがなかった場合はデフォルトの動作を実行します。
リモートIPアドレス（REMOTEIP）をチェックします。PRIVATE側からのフローでは終点IPアドレス、PUBLIC側からのフローでは始点IPアドレスです。一致するルールがなかった場合はデフォルトの動作を実行します。
ローカルIPアドレス（IPまたはGBLIP）をチェックします。PRIVATE側からのフローでは始点IPアドレス、PUBLIC側からのフローでは終点IPアドレスです。終点IPアドレスは、NATを使用している場合はPUBLIC側の送信元ホストから見えるグローバルIPアドレス（GBLIP）、NATを使用していない場合はPRIVATE側ホストのIPアドレス（IP）になります。

ファイアウォールの動作監視

ファイアウォールの運用にあたっては、ルールを適切かつ正しく設定することはもちろんですが、ファイアウォールの周辺でどのような活動が行われているかを調べることも重要です。本製品のログ機能や自動通知機能などを利用すれば、このような監視作業を効果的に行うことができます。

ログ

ファイアウォールの動作を監視する場合、ログはもっとも基本的な資料になります。デフォルトでは、攻撃などの重大イベントしか記録されませんので、以下のコマンドを実行して必要なログオプションを有効にしてください。

■ ファイアウォールで拒否されたパケットのログをとるには、ENABLE FIREWALL POLICYコマンドのLOGパラメーターに記録するパケットの種類を指定します。たとえば、ファイアウォールで拒否されたすべてのパケットを記録するには、次のようにします。

ENABLE FIREWALL POLICY=mynet LOG=DENY ↓

LOGパラメーターにはほかにもさまざまなオプションを指定できます。LOGパラメーターには複数の項目をカンマ区切りで指定することができます。

表 7：ファイアウォールのログオプション一覧

オプション名 対象パケット

ALLOW 内外からのセッション/フロー開始を許可

DENY 内外からのセッション/フロー開始を遮断

■ ファイアウォールに関するログは次のコマンドで見ることができます。

SHOW LOG MODULE=FIRE ↓

または

SHOW LOG TYPE=FIRE ↓

■ 大量のログメッセージが記録されている場合などに、最新のメッセージだけを見たい場合は、TAILオプションを付けます。


SHOW LOG MODULE=FIRE TAIL（最新の20メッセージを表示） ↓

SHOW LOG MODULE=FIRE TAIL=10（同10メッセージを表示） ↓

ファイアウォールセッションの確認

■ 現在ファイアウォールを介して行われている通信セッションを確認するにはSHOW FIREWALL SESSIONコマンドを使います。

Manager > show firewall session

Policy : net
Current Sessions
-------------------------------------------------------------------------------
3612 UDP      IP: 192.168.10.100:64499      Remote IP: 172.17.28.1:53
          Gbl IP: 172.17.28.185:13842   Gbl Remote IP: 172.17.28.1:53
     Start time ........................... 17:44:35 07-Mar-2002
     Seconds to deletion .................. 264
158f UDP      IP: 192.168.10.100:64500      Remote IP: 172.17.28.1:53
          Gbl IP: 172.17.28.185:5519    Gbl Remote IP: 172.17.28.1:53
     Start time ........................... 17:44:13 07-Mar-2002
     Seconds to deletion .................. 246
7527 UDP      IP: 192.168.10.100:64501      Remote IP: 172.17.28.1:53
          Gbl IP: 172.17.28.185:29991   Gbl Remote IP: 172.17.28.1:53
     Start time ........................... 17:41:11 07-Mar-2002
     Seconds to deletion .................. 60
5e9e TCP      IP: 192.168.10.100:65484      Remote IP: 172.17.28.103:22
          Gbl IP: 172.17.28.185:24222   Gbl Remote IP: 172.17.28.103:22
     TCP state ............................ closed
     Start time ........................... 17:35:17 07-Mar-2002
     Seconds to deletion .................. 54
-------------------------------------------------------------------------------

■ 各セッションの統計情報を確認するには、SHOW FIREWALL SESSIONコマンドにCOUNTERオプションを付けます。

Manager > show firewall session counter

Policy : net
Current Sessions
-------------------------------------------------------------------------------
43fa TCP      IP: 192.168.10.100:65480      Remote IP: 172.17.22.10:80
          Gbl IP: 172.17.28.185:17402   Gbl Remote IP: 172.17.22.10:80
     Packets from private IP .............. 8
     Octets from private IP ............... 558
     Packets to private IP ................ 8
     Octets to private IP ................. 6881
     TCP state ............................ closed
     Start time ........................... 17:51:26 07-Mar-2002
     Seconds to deletion .................. 300
c296 TCP      IP: 192.168.10.100:65483      Remote IP: 172.17.24.1:23
          Gbl IP: 172.17.28.185:49814   Gbl Remote IP: 172.17.24.1:23
     Packets from private IP .............. 11
     Octets from private IP ............... 555
     Packets to private IP ................ 12
     Octets to private IP ................. 554
     TCP state ............................ timeWait
     Start time ........................... 17:49:33 07-Mar-2002
     Seconds to deletion .................. 246
ea27 UDP      IP: 192.168.10.100:64433      Remote IP: 172.17.28.1:53
          Gbl IP: 172.17.28.185:59943   Gbl Remote IP: 172.17.28.1:53
     Packets from private IP .............. 1
     Octets from private IP ............... 75
     Packets to private IP ................ 1
     Octets to private IP ................. 149
     Start time ........................... 17:50:05 07-Mar-2002
     Seconds to deletion .................. 270
-------------------------------------------------------------------------------

■ 特定のセッションを強制的に終了させるには、SHOW FIREWALL SESSIONコマンドで該当セッションのIDを確認してから、次のコマンドを実行します。

DELETE FIREWALL SESSION=c296 ↓

その他設定

本製品のファイアウォールは、各種コマンドを使って細かい動作の変更が可能です。ここでは主要な設定についてのみ説明します。詳細はコマンドリファレンスをご覧ください。

■ 本製品自身への外部からのpingに応答しないようにする
デフォルトでは応答します。また、内部からのPINGには常に応答します。

DISABLE FIREWALL POLICY=mynet PING ↓

PN: 613-000415 Rev.B

送信元→宛先	PRIVATE	PUBLIC	その他
PRIVATE	○	○	×
PUBLIC	×	○	○
その他	×	○	○

送信元→宛先I/F	PRIVATE	PUBLIC	その他
PRIVATE	○	○	×
PUBLIC	×	×	×
その他	×	○	○

パラメーター	指定する内容
ACTION	内部から外部への転送を拒否するためDENYを指定します。
INTERFACE	内部（PRIVATE）インターフェースを指定します。
PROTOCOL	対象となるプロトコルを指定します。TCP、UDPを指定した場合はPORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です。
REMOTEIP	終点IPアドレス。パケットの宛先となる外部ホストのIPアドレスです（範囲指定可）。省略時はすべての終点IPアドレスが対象となります。
PORT	終点ポート番号。パケットの宛先となる外部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。
IP	始点IPアドレス。パケットの送信元となる内部ホストのIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象となります。
SOURCEPORT	始点ポート番号。パケットの送信元となる内部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります。

オプション名	対象パケット
ALLOW	内外からのセッション/フロー開始を許可
DENY	内外からのセッション/フロー開始を遮断