[ファイアウォール]メニュー

画面上部のメニューバーで[ファイアウォール]を選択します。

このセクションでは、 Endian Firewall を通過するIPトラフィックを処理するためのルールを設定します。画面左側のサブメニューの中に以下のリンクが表示されます。

  • ポート転送 / NAT - ポート転送とNAT(ネットワークアドレス変換)を設定します。
  • 送信トラフィック - REDインターフェイスから外向きに送信されるトラフィックを許可するかどうか、ゾーン、ホスト、ポートなどで設定します。
  • ゾーン間トラフィック - ゾーン間のトラフィックを許可するかどうかを設定します。
  • VPNトラフィック - VPN経由で接続されている各ホストをファイアウォールで制御するかどうかを指定します。
  • システムアクセス - Endian Firewall ホストへのアクセスを制御します。

各サブセクションについて解説します。

ポート転送 / NAT

画面上部のメニューバーで[ファイアウォール]を選択し、画面左のサブメニューから[ポート転送/NAT]を選択します。

宛先NAT

Changed in version 2.3.

宛先NATは、信頼されていない外部ネットワークからのアクセスを制御したり、特定のポートを別のアドレスにマッピングしたりする際に利用します。どのインターフェイスのどのポートを、どのホストのどのポートに転送するかを定義します。

受信IP
このフィールドでは、任意の送信元、インターフェイスやアップリンク、IPアドレスやVPNユーザーからの すべての送信接続において宛先NATを適用するかどうかを指定します。タイプとして「ゾーン/VPN/アップリンク」を選択すると、ルールを適用する送信元ゾーン、アップリンク、インターフェイスを選択できます。「ネットワーク/IPアドレス/範囲」を選択した場合、IPアドレスやネットワークアドレスを下のテキストボックスに入力してください(1行に1アドレス)。「OpenVPNユーザー」を選択した場合は、下のリストからユーザーを選択します(複数選択可)。
宛先
このフィールドでは、インターフェイスやアップリンク、IPアドレスやVPNユーザー宛の すべての送信接続において宛先NATを適用するかどうかを指定します。タイプとして「ゾーン/VPN/アップリンク」を選択すると、ルールを適用する宛先ゾーン、アップリンク、インターフェイスを選択できます。「ネットワーク/IPアドレス/範囲」を選択した場合、IPアドレスやネットワークアドレスを下のテキストボックスに入力してください(1行に1アドレス)。「OpenVPNユーザー」を選択した場合は、下のリストからユーザーを選択します(複数選択可)。
フィルタポリシー
ルールにマッチしたパケットをどのように処理するかを指定します。選択できるのは「許可(IPS付き)」、「許可」、「破棄」、「拒否」のいずれかです。
サービス/ポート
ここには2つのフィールドがあります。[サービス]で既に定義されているサービスから選択するか、[プロトコル]で「TCP」、「UDP」、「GRE (Generic routing encapsulation:トンネルで使用されます)」などから選択します。「TCP」、「UDP」、「TCP+UDP」の場合は、宛先ポートや宛先ポート範囲を指定します。
変換先
宛先を変換する方法を指定する4つのフィールドがあります。[タイプ]には変換先の種類を「IP」、「OpenVPNユーザー」、「負荷分散」、「ネットワークマッピング」 から選択します。選択したタイプに応じて追加のフィールドが表示されます。「ネットワークマッピング」を選択した場合以外は、[NATポリシー]フィールドで「NATを使用しない」 を選択するとNATを行わないように明示的に指定できます。これは、サブネット内の1つのアドレス以外のすべてのアドレスでNATを使用したい場合に便利です。
利用可能
チェックされるとルールが有効になります(デフォルトでチェックされます)。
ログ
このルールにマッチしたすべてのパケットをログに記録します。
コメント
このルールの内容がわかるようなメモを残しておくことができます。
場所
ルールをどの位置に挿入するかを指定します。

[ルールの作成]ボタンをクリックしてルールを作成します。一覧内の右側にあるアイコンをクリックすることで、 いつでもルールの有効化/無効化、編集、削除が行えます(各アイコンの説明は一覧の下部を参照してください)。

ルールを編集した後、[適用]ボタンをクリックして設定を適用することを忘れないでください。

Warning

[変換先]の「タイプ」で「IP」、「OpenVPNユーザー」、「負荷分散」のいずれかを選択した場合は、 ポートは1対1でマップされるのではなく、ラウンドロビンでバランシングされることに注意してください。 そのため、ポート137:139を宛先ポート137:139にマップすると、これらのポートがランダムに使用されることになります。 このような場合は、[ポート/範囲]を空にしてください。

Note

[ネットワークマッピング]変換では、特定のネットワークアドレス全体が別のネットワークアドレスにマッピングされます。これは、すべての子会社で同一の内部ネットワークアドレスを使用しているような場合に便利です。このようなケースでは、各ネットワークをマッピングネットワークを使って相互に接続することができます。例えば次のようになります。

元のネットワーク 1: 192.168.0.0/24
マッピングされたネットワーク 1: 192.168.1.0/24
元のネットワーク 2: 192.168.0.0/24
マッピングされたネットワーク 2: 192.168.1.1/24

ソースNAT

このセクションでは、ソースNATを適用する送信トラフィックを定義できます。ソースNATは、 Endian Firewall 背後にあって外部IPアドレスを持っているサーバーが、 ファイアウォールのREDインターフェイスのIPアドレスを使用せずに外部に接続する場合に使用できます。ソースNATルールの追加は、ポート転送ルールの追加と似ています。以下のオプションが利用できます。

送信元
このフィールドでは、任意のネットワークやIPアドレスからの外向き接続をソースNATの対象にするか、 VPNユーザーからの接続をソースNATの対象にするかを指定します。前者を選択した場合は、IPアドレスかネットワークアドレスを下のテキストエリアに入力してください(1行に1アドレス)。後者を選択した場合は、下の複数選択フィールドで対象となるユーザーを選択してください。
送信先
このフィールドでは、NATされる接続先を「ゾーン/VPN/アップリンク」、「ネットワーク/IP」、「ユーザー」のどれにするかを指定します。最初の選択肢を選択した場合は、下の複数選択フィールドでゾーン、VPN、アップリンクを選択してください。2番目の選択肢を選択した場合は、IPアドレスかネットワークアドレスを下のテキストエリアに入力してください(1行に1アドレス)。3番目の選択肢を選択した場合は、下の複数選択フィールドで対象となるユーザーを選択してください。
サービス/ポート
NATを適用するサービスを指定します。[サービス]でプロトコルごとに事前に定義されたリストの中から選択することもできます。プロトコルを指定したい場合は、[プロトコル]でプロトコルを選択し、指定したいポートを[送信先ポート]テキストエリアに入力してください(1行に1つのポート)。
NAT
ソースNATを適用するかどうかを選択します。ソースNATを使用する場合は、使用したいIPアドレスを指定してください。[自動]を選択すると、外部インターフェイスのIPアドレスの中から自動的に選択されます。

New in version 2.3.

場合によっては明示的に[NAT無効]を指定したいことがあります。たとえば、外部IPアドレスが設定されたサーバーがDMZに設置してあり、外向き接続の送信元をRED IPアドレスにしたくない場合などです。

利用可能
チェックされるとルールが有効になります。
コメント
このルールの内容がわかるようなメモを残しておくことができます。
場所
ルールを挿入したい位置を指定します。

[保存]ボタンをクリックするとルールが保存されます。

DMZ内に設置されたSMTPサーバー(IPアドレスは、アップリンクの追加IPアドレス 123.123.123.123 と仮定します)でのソースNATの設定は以下のようになります。

  1. 用途に応じてORANCEゾーンの設定を行います。
    1. ORANGEゾーン内にSMTPサーバーをセットアップし、
    ポート25で待ち受けるよう設定します。
    1. [ネットワーク]-[インターフェイス]セクションで、
    Endian Firewall に固定Ethernetアップリンク(IPアドレス:123.123.123.123)を追加します。
    1. ソースNATルールを追加し、送信元アドレスとしてSMTPサーバーの

    ORANGE IPアドレスを指定します。NATが有効になっていること、また送信元IPアドレス 123.123.123.123 としてソースNATが有効になっていることを 確認します。

ルーティングされた受信トラフィック

New in version 2.3.

このモジュールでは、 Endian Firewall を通してルーティングされたトラフィックをリダイレクトすることができます。これは、複数の外部IPアドレスがあり、そのうちのいくつかのアドレスをNATを使用せずにDMZで使用したい場合に便利です。

送信元
このフィールドでは、このルールをマッチさせたい対象として、信頼されないサイトからのすべてのトラフィック (<RED>)、選択した「アップリンク」からのトラフィック、または指定した「ネットワーク/IPアドレス」からのトラフィックから選択します。
送信先
このフィールドでは、このルールをマッチさせたい対象としてすべてのトラフィック[<ANY>]、選択したゾーンへのトラフィック、または指定された「ネットワーク/IPアドレス」へのトラフィックから選択します。
サービス/ポート
ここには2つのフィールドがあります。[サービス]で既に定義されているサービスから選択するか、[プロトコル]で「TCP」、「UDP」、「GRE (Generic routing encapsulation:トンネルで使用されます)」などから選択します。「TCP」、「UDP」、「TCP+UDP」の場合は、宛先ポートや宛先ポート範囲を指定します。
操作
ルールにマッチしたパケットをどのように処理するかを指定します。選択できるのは「許可(IPS付き)」、「許可」、「破棄」、「拒否」のいずれかです。
利用可能
チェックされるとルールが有効になります(デフォルトでチェックされます)。
ログ
このルールにマッチしたすべてのパケットをログに記録します。
コメント
このルールの内容がわかるようなメモを残しておくことができます。
場所
ルールをどの位置に挿入するかを指定します。

[ルールの作成]ボタンをクリックしてルールを作成します。一覧内の右側にあるアイコンをクリックすることで、 いつでもルールの有効化/無効化、編集、削除が行えます(各アイコンの説明は一覧の下部を参照してください)。

ルールを編集した後、[適用]ボタンをクリックして設定を適用することを忘れないでください。

送信トラフィック

画面上部のメニューバーで[ファイアウォール]を選択し、画面左のサブメニューから[送信トラフィック]を選択します。 Endian Firewall に事前に設定されている送信トラフィック(インターネットアクセス)のためのルールのセットが表示されます。これは、GREENゾーンからの一般的なサービス (HTTP、HTTPS、FTP、SMTP、POP、IMAP、POP3s、IMAPs、DNS、ping) へのアクセスで使用される送信トラフィック用のルールです。デフォルトでは、ここに定義された以外のサービスはすべてブロックされます。

また、BLUEゾーン(ワイアレスLAN)からのHTTP、HTTPS、DNSおよびpingが許可されています。ORANGEゾーン(DMZ)からはDNSとpingのみが許可されています。

デフォルトでは他のトラフィックはすべて禁止されています。

一覧内の右側にあるアイコンをクリックすることで、ルールの有効化/無効化、編集、削除が行えます(各アイコンの説明は一覧の下部を参照してください)。独自のルールを追加するには、上部にある[新規ファイアウォールルールの追加]ボタンをクリックします。ルールの順番はとても重要です。最初のルールでパケットの許可/拒否が判断されると、それ以降のルールでマッチするかどうかは関係なくなります。一覧内の各行にある矢印のアイコンを使って、ルールの順序を入れ替えることができます。

ルールは以下のパラメータによって定義されます。

送信元
ゾーン/インターフェイスを選択するか、または1つ以上のネットワーク/IPアドレス、MACアドレスから指定します。
送信先
REDゾーン全体を選択するか、1つ以上のアップリンク、ネットワーク/ホストアドレスから選択します。
サービス/ポート
送信先のサービスです。リストからサービス名を選択するか、プロトコルと1つ以上のポート番号 (1-65535) を指定します。
操作
パケットをどのように処理するかを設定します。 [許可(IPS利用)]では、パケットをIPS(侵入防止システム)に送ります。 [ALLOW]では常にパケットを許可します。 [DENY]では送信元に何も通知せずにパケットをドロップします。 [REJECT]ではパケットがドロップされたことを送信元に通知します。
コメント
このファイアウォールルールの内容がわかるようなメモを残しておくことができます。
場所
ルールをどの位置に挿入するかを指定します。
利用可能
チェックされるとルールが有効になります(デフォルトでチェックされます)。
すべての許可されたパケットをログに出力
すべての許可されたパケットをログに出力します(拒否、破棄されたパケットは含まれません)。ログデータが膨大になるため、デフォルトではオフになっています。

ルールを編集した後、[適用]ボタンをクリックして設定を適用することを忘れないでください。

ページの下部には、設定内容に応じて Endian Firewall が自動的に設定したルールが表示されます。[送信ファイアウォールを有効にする]スイッチを切り替えると、送信ファイアウォール全体の有効/無効を切り替えることができます。無効にすると、すべての送信トラフィックが許可されます(推奨されません)。

ゾーン間トラフィック

画面上部のメニューバーで[ファイアウォール]を選択し、画面左のサブメニューから[ゾーン間トラフィック]を選択します。

このセクションでは、REDゾーンを除く各ネットワークゾーン間でどのようにトラフィックを流すかを判断するためのルールを設定できます。 Endian Firewall には事前に設定された1つの簡単なルールセットがあります。GREENゾーンから他のゾーン(ORANGEとBLUE)へのトラフィックは許可され、各ゾーン内のトラフィックも許可されます。

デフォルトでは他のトラフィックはすべて禁止されています。

送信トラフィックファイアウォールと同様、一覧内の右側にあるアイコンをクリックすることで、ルールの有効化/無効化、編集、削除が行えます。独自のルールを追加するには、上部にある[新規ゾーン間ファイアウォールルールの追加]ボタンをクリックします。ファイアウォールルールの詳細については、前述の送信トラフィックのセクションを参照してください。

[ゾーン間ファイアウォールを有効にする]スイッチを切り替えると、ゾーン間ファイアウォール全体の有効/無効を切り替えることができます。無効にすると、REDゾーンを除くすべてのゾーン間トラフィックが許可されます(推奨されません)。

VPNトラフィック

画面上部のメニューバーで[ファイアウォール]を選択し、画面左のサブメニューから[VPNトラフィック]を選択します。

VPNトラフィックファイアウォールには、VPNによって接続してくるホストに適用されるファイアウォールルールを追加することができます。

VPNトラフィックファイアウォールは通常無効になっているため、VPNホストとGREENゾーンのホストは自由に通信でき、VPNホストは他のゾーンにアクセスすることができます。VPNホストは送信トラフィックファイアウォールやゾーン間トラフィックファイアウォールの設定が適用されないことに注意してください。VPNホストへのアクセス、またはVPNホストからのアクセスを制限したい場合には、VPNトラフィックファイアウォールを使用する必要があります。

このルールの設定は送信トラフィックファイアウォールと同一です。ファイアウォールルールの設定については送信トラフィックファイアウォールのセクションを参照してください。

システムアクセス

画面上部のメニューバーで[ファイアウォール]を選択し、画面左のサブメニューから[システムアクセス]を選択します。

このセクションでは、 Endian Firewall 本体へのアクセスを許可/拒否するルールを設定します。

ここには事前に設定されたルールがありますが、これらは変更できません。これらはファイアウォールの正常な動作に必要なもので、ファイアウォールが提供するサービスに必要なために自動的に作成されたルールです。これらのルールを表示するには、[システムサービスのルールを表示]の横にある[>>]ボタンをクリックします。

独自のルールを追加するには、[新規システムアクセスルールの追加]リンクをクリックします。各ルールには以下のパラメータがあります。

送信元アドレス
1つ以上のネットワーク/ホストアドレスまたはMACアドレスを指定します。
送信元インターフェース
ゾーンかインターフェイスを指定します。
サービス/ポート
送信先のサービスです。リストからサービス名を選択するか、プロトコルと1つ以上のポート番号 (1-65535) を指定します。
操作
パケットをどのように処理するかを設定します。許可、DENY(送信元に通知なしでパケットを破棄します)、REJECT(送信元に通知してパケットを破棄します)から選択します。
コメント
このシステムアクセスルールの内容がわかるようなメモを残しておくことができます。
場所
ルールをどの位置に挿入するかを指定します。
利用可能
チェックされるとルールが有効になります(デフォルトでチェックされます)。
すべての許可されたパケットをログに出力
すべての許可されたパケットをログに出力します(拒否、破棄されたパケットに加えて)。ログデータが膨大になるため、デフォルトではオフになっています。

[追加]ボタンをクリックしてルールを作成します。一覧内の右側にあるアイコンをクリックすることで、 いつでもルートの有効化/無効化、編集、削除が行えます(各アイコンの説明は一覧の下部を参照してください)。

ルールを編集した後、リストの上にある[適用]ボタンをクリックして設定を適用することを忘れないでください。

ファイアウォールダイアグラム

このページではすべてのファイアウォールモジュールのリストが表示されます。理解しやすくするため、各モジュールはダイアグラムとして図示されています。

ダイアグラムをクリックすると拡大表示されます。