アライドファン.comは、佐々木ネットワークテクノロジーズが運営する、ネットワーク技術情報サイトです。

ルータのファイアウォール機能について

アライドテレシスのARシリーズルータには、強力なステートフルインスペクション型のファイアウォールが搭載されている。
このファイアウォール機能はインターネット接続を前提としたものであり、IPフィルタ機能と比べて、比較的簡単な設定で、セキュリティを確保することができる。

手順1. 基本的な設定

WAN→LAN方向にリクエストされる通信を全て遮断し、LAN→WAN方向の通信を全て透過する基本的なファイアウォールの設定方法は以下の通り。

まず、以下のコマンドで、今から設定するファイアウォールに対して、名称を設定する。
名称は自由に設定できる。

create firewall policy=fw01

次に、各IPインタフェースに対してファイアウォールの基本的な設定を行う。
WAN→LAN方向にリクエストされる通信を全て遮断する場合、以下のコマンドのように、WAN側インタフェースのTYPEをpublicに設定する。
また、LAN→WAN方向の通信を全て透過する場合、以下のコマンドのように、LAN側インタフェースのTYPEをprivateに設定する。

add firewall policy=fw01 int=ppp0 type=public add firewall policy=fw01 int=vlan1 type=private

なお、これはWAN側インタフェースがPPPoEである場合の設定例である。
WAN側インタフェースがLAN型接続の場合、インタフェースはeth0と設定すればよい。

ここまでの設定が完了したら、以下のコマンドにより、ファイアウォールを有効化する。

enable firewall

この設定により、WAN→LAN方向にリクエストされる通信が全て遮断されるようになる。
なお、ARルータに装備されているのは、IPフィルタリング機能とは異なるステートフルインスペクション型ファイアウォールのため、LAN→WAN方向のリクエストに対する戻りパケットについての設定は必要ない。

手順2.ルールの追加

手順1の設定だけでは、外部からの通信は全て遮断されてしまうので、必要に応じファイアウォールに穴をあけるようにする。

まず、NATを使用していない場合の、特定のIPアドレスに向けて通信を許可する設定について説明する。
以下のように、パケットを受信するインタフェース(ppp0等）、プロトコル(tcp, udp等)、IPアドレス、ポート番号を組み合わせて設定する。

add firewall policy=fw01 rule=1 ac=allow int=(受信インタフェース) prot=(プロトコル) ip=(IPアドレス) port=(宛先ポート番号)

prot=allを指定した場合、ICMPを除く全てのプロトコルが通過するようになる。このパラメータは省略できない。

ipパラメータで指定するIPアドレスの指定方法は、インタフェースのファイアウォール基本設定によって異なるため、注意が必要である。ファイアウォールでpublicに設定したインタフェースに対してファイアウォールのルールを設定する場合は「宛先アドレス」、privateと設定したインタフェースの場合は「発信元アドレス」となり、インタフェースの設定によって指定方法が異なってくる。
また、ipパラメータはハイフンを用いて範囲で指定することも可能である。

portパラメータは、宛先ポート番号を設定する。protパラメータでTCP、UDPを指定したときは、このパラメータは省略できない。ハイフンを用いて範囲で指定することも可能である。

NATを使用していない場合、eth0で受信した、vlan0側にある192.168.1.23のTCP/80番ポートに対する通信を許可する設定例は以下の通りである。

add firewall policy=fw01 rule=1 ac=allow int=eth0 prot=tcp ip=192.168.1.23 port=80

【参考】
　・ identプロキシ機能を無効に設定して、メールの送信にかかる時間を短縮する方法
　・ Pingパケットを通過させる方法

ルータ設定作業のご依頼はこちら

このページの先頭へ