アライドファン.comは、佐々木ネットワークテクノロジーズが運営する、ネットワーク技術情報サイトです。

その１に戻る

3. LAN側のオプション設定

アライドテレシスのARシリーズルータには、DNSリレー機能が備わっている。
DNSリレー機能とは、パソコン等からのDNS問い合わせをルータが受け付け、ルータが代わりに外部のDNSサーバに問い合わせる機能のことを言い、DNSサーバのアドレスをパソコンに設定する必要がない、DNSサーバのアドレスが変更になってしまった場合でもパソコンの設定を変更する必要がないといったメリットがある。
設定方法は以下の通り。

enable ip dnsrelay add ip dns primary=192.168.100.100 set ip dns cache size=100 timeout=60

上記設定では、IPアドレス192.168.100.100のDNSサーバに対してDNS問い合わせを行うように設定している。
なお、DNSサーバのアドレスを、PPPoE認証時にプロバイダから自動的に通知される場合は、add ip dns int=ppp0のように、PPPoEのインタフェースをパラメータとして設定すればよい。
アライドテレシスのARシリーズルータは、DNSキャッシュ機能を備えている。クライアントのDNS問い合わせ結果がルータ内にキャッシュとして一時保管され、同じDNS問い合わせが行われた場合には、DNS問い合わせを行わずに、キャッシュにある問い合わせ結果を返すようになる。これにより、僅かではあるが、ネットワークの高速化を図ることができる。


次に、DHCPサーバ機能の設定方法を解説する。
DHCPサーバ機能の設定方法は以下の通りである。

enable dhcp create dhcp policy=dhcppol leasetime=86400 add dhcp policy=dhcppol subnet=255.255.255.0 router=192.168.10.1 add dhcp policy=dhcppol dnsserver=192.168.10.1 ntpserver=192.168.10.1

上記設定では、ポリシー名として「dhcppol」を定義し、「base」に対して各パラメータの設定を行うこととする。
ポリシー名は15文字以内で自由に設定可能である。

ポリシー名を定義する際に、クライアントへのIPアドレス貸出期間を秒単位で設定しなければならない。
IPアドレスのリース期限が切れ、クライアントがIPアドレスを更新する際、一時的に通信が途切れる可能性があるので、あまり短い値を設定するのは好ましくない。この例のように、24時間(86400秒)あたりが適当ではないだろうか。

add dhcp policyコマンドにより、クライアントへ配布するネットワーク情報を設定する。
サブネット、デフォルトルータ情報は必須であるが、その他に上記例のようにDNSサーバ情報、NTPサーバ情報等も通知可能である。

4. ファイアウォールの設定

LANをインターネットに接続する上で、セキュリティの確保は必須であり、外部から内部へのアクセスは完全に遮断しなければならない。その上で、内部から外部へのアクセスを確保するように設定を行う必要がある。
ARシリーズルータには、ファイアウォール機能によりセキュリティを確保することができる。
このファイアウォールの設定方法について解説する。

まず、ファイアウォール機能を有効にした上で、ポリシー名の設定を行う。

enable firewall create firewall policy=fw01

上記設定では、ポリシー名として「fw01」を定義し、「fw01」に対して各パラメータの設定を行うこととする。
ポリシー名は15文字以内で自由に設定可能である。


次に、Pingパケットが通過するように設定を行う。

enable firewall policy=fw01 icmp_f=unre,ping

デフォルトでは、ICMPパケットを全て遮断するようになっているため、Pingへ応答しなくなっていしまい、トラブル発生時の原因追及に支障を来すことになってしまう。
これを防ぐために、上記例では、Echo/EchoReplyとUnreachableが通過できるように設定を行っている。


次に、identproxyに関する設定を行う。
外部のメールサーバにSMTP接続を行った場合、このメールサーバがidentパケットを出してくる。これに応じなかった場合、タイムアウトまで数秒待たされることになる。そのため、この設定を行わなかった場合、メール送信時のレスポンスが悪化することになる。

disable firewall policy=fw01 identproxy

上記設定により、外部からのident要求に対して、ただちにTCP RSTを返すよう動作するため、identタイムアウト待ちによるレスポンス悪化を防ぐことができるようになる。


ここで、ファイアウォールのポリシーをインタフェースに適用する。

add firewall policy=fw01 int=ppp0 type=public add firewall policy=fw01 int=vlan1 type=private

上記設定では、WAN側（ppp0インタフェース）をPUBLIC（外部）として、またLAN側（vlan0インタフェース）をPRIVATE（内部）として、ポリシーfw01を適用している。
ファイアウォールの基本ルールでは、PRIVATEからPUBLICへのパケットはすべて通すが、PUBLICからPRIVATEへのパケットはすべて遮断するようになっているので、この設定によりセキュリティが確保される。

最後に、NAT（ネットワークアドレス変換）の設定を行う。この機能により、LAN側のプライベートIPアドレスが、ルータに割り当てられたグローバルIPアドレスに変換されてインターネットにアクセスできるようになる。
アライドテレシス製ルータのNAT機能には、IPモジュールの機能であるIP NATと、ファイアウォールモジュールの機能であるファイアウォールNATの2種類がある。但しこの2つは同時に使用できない。そのため、ファイアウォール機能を使用するときはファイアウォールNATを、ファイアウォール機能を使用しないときはIP NATを選択する。
また、ファイアウォールNATには、インターフェース単位で設定するインターフェースNATと、アドレス単位で指定するルールNATがある。インターフェースNATは、LAN側・WAN側といった、指定した2つのインタフェース間の通信に対してNATがかかるように指定するもので、通常はこのインタフェースNATを選択する。
インターネットアクセスルータでは、NATのモードには「ダイナミックENAT」を選択する。詳細はNATに関する説明を参照して頂きたい。具体的な設定例は以下の通り。

add firewall policy=fw01 nat=enhanced int=vlan1 gblint=ppp0

上記設定では、vlan1からppp0インタフェースに向かうパケットに対してダイナミックENATを適用するインタフェースNATを、ファイアウォールNATとしてポリシーfw01に設定している。


設定作業のご依頼はこちら

このページの先頭へ