3 Minutes Networking Step-by-Step
No.14

ネットワークなぜなに講座

構築第14回ファイアウォールを設定しよう

■ 構築問題 第十四問

おねーさん

おね〜さんと、

ほげたん

ほげたんのっ!!

おねーさん

3 Minutes Networking、

ほげたん

Step by Step !!

おねーさん

ん〜っと、DMZまで作成して、ネットワークの大枠は出来上がったわね。

ほげたん

そうなの?

おねーさん

そう。いいかしら、ほげたん?
これからIDCが入ったり、IP-VPNが入ったりするかもしれないけど。

ほげたん

けど?

おねーさん

現在の形が基本形ってことを忘れないようにね。

ほげたん

今の形が基本?
FWがあって、DMZがあって、外部接続ルータがあって……。

おねーさん

そうそう、その形。今後はこれを発展させていくわけよ。

ほげたん

へ〜。

おねーさん

で、その前に。
ファイアウォールの設定がまだだったわよね。

ファイアウォールを設定しなさい

第十四問

[FigureSS13-01:第十四問]

  • ファイアウォールを設定し、内部ネットワークを守りなさい
    • 現在のネットワーク構成は第十三回の問題と同じとする
    • DMZの3つのサーバは、そのサービスのみを外部に公開する
    • 外部メールサーバは受け取ったメールを内部メールサーバへ転送する
    • グローバルIPアドレスとして200.100.10.0/28を使用する
ほげたん

つまり、いくつの項目を設定すればいいの?

おねーさん

ん?
そうね、IPアドレス、NATテーブル、パケットフィルタの3つは必要ね。

ほげたん

ん〜、結構大変だ〜。

解答は非表示になっています。自分なりの答えができた方は表示させてください

■ 構築問題 第十四問 解答

ほげたん

んと、まず。
IPアドレスからいこうかと思ってるんだけど?

おねーさん

はいはい、どうぞ。

ほげたん

……、DMZのアドレスってどうすればいいの?

おねーさん

さぁ?

ほげたん

む〜〜〜。そのとぼけた顔がニクい。

おねーさん

あら? そう?

ほげたん

ともかく、インターネットからアクセスできなきゃいけないんだから……こう?

ほげたんの解答

[FigureSS13-02:ほげたんの解答]

おねーさん

ふ〜ん。グローバルIPアドレスの/28を、さらに2つにわけて(/29)、FWの外側と、DMZに割り振ったわけね。

ほげたん

うん。グローバルIPアドレスがないと、外部からアクセスできないでしょ?

おねーさん

ほげたん? ファイアウォールの本質はなんだっていったっけ?

ほげたん

え? NAT

おねーさん

そうよねぇ、NATよねぇ。で、この図だと、LAN→WANはNATかけて、DMZ→WANはNATかけない?

ほげたん

う、うん。そうなるよ。

おねーさん

ま、そういうことも可能だけどさ。
でもね、普通、DMZはプライベートIPアドレスを割り振るのよ。

ほげたん

え? あ? そうなの?
でも、プライベートなら、外部からアクセスが……。

おねーさん

なんのための、NATなのよ。

ほげたん

あ、あぁ、そうか。

おね〜さんの解答

[FigureSS13-03:おね〜さんの解答]

おねーさん

ま、こんな形。

ほげたん

でも、なんでプライベートにするの? 僕の案でもいいじゃないかなぁ。

おねーさん

そうかも。でもね、プライベートにして、NATによる変換によるアクセスって形にすると。
まず、グローバルIPアドレスの無駄がなくなるでしょ?

ほげたん

うん、それはそうだね。
/28を/29の2つにしちゃったから、ネットワークとブロードキャストで4つ使えないアドレスが増えたからね。

おねーさん

もう1つ。プライベートならNATされないとアクセスできなくなるわけでしょ?
パケットフィルタに加えて、NATというアクセス制限がかけれるのよ。

ほげたん

は〜。なるほど。

おねーさん

ほげたんの方式だと、200.100.10.8/29のアドレスならアクセスされちゃうわけだしね。
まぁ、パケットフィルタはされるけど。

ほげたん

だから、プライベートを使うのかぁ。

おねーさん

使わない、ほげたん方式もある、かな? おね〜さんはプライベートの方式しかしらないけど。
ともかく、次はNATテーブルをよろしく。

ほげたん

NAT、NAT…。

分類インタフェースIPアドレスインタフェースIPアドレス
NAPTWAN200.100.10.2LAN172.16.0.0/24
LAN172.16.1.0/24
LAN172.16.2.0/24

[TableSS14-01:NATテーブル・1]

ほげたん

内部→外部のNAPTと…。

分類インタフェースIPアドレスインタフェースIPアドレス
NATWAN200.100.10.11DMZ172.16.10.11
WAN200.100.10.12DMZ172.16.10.12
WAN200.100.10.13DMZ172.16.10.13

[TableSS14-02:NATテーブル・2]

ほげたん

DMZ→外部のスタティックNAT。公開サーバへの変換だね。

おねーさん

うん、で?

ほげたん

で、って? もうないよ。

おねーさん

LAN→DMZでもNATは必要よ。

分類インタフェースIPアドレスインタフェースIPアドレス
NAPTDMZ172.16.10.128/25LAN172.16.0.0/24
LAN172.16.1.0/24
LAN172.16.2.0/24

[TableSS14-01:NATテーブル・3]

ほげたん

そうなの? DMZとLANって同じプライベートだから必要ないかと…。

おねーさん

基本的に、ファイアウォールを通過する際は必ずNATされると考えなさい。
イメージ的にはルーティングではなくNATによる通過、かな?

ほげたん

ファイアウォールでは、ルーティングというよりも、NATによって通過している……。
ルーティングしないの?

おねーさん

するわよ。あくまでもイメージ的には、ね。
さて、最後にパケットフィルタを書いてね。前の図を忘れないように。

ファイアウォールの動作

[FigureSS13-04:ファイアウォールの動作]

おねーさん

この図ね。

ほげたん

は〜い。

プロトコル送信元IPアドレス送信元ポート宛元IPアドレス宛元ポート方向動作
TCP**172.16.10.1180WAN→DMZ許可
TCP**172.16.10.1253WAN→DMZ許可
TCP**172.16.10.1325WAN→DMZ許可
IP**172.16.10.0/24*WAN→DMZ禁止
IP**172.16.0.0/16*WAN→LAN禁止
TCP172.16.10.13*172.16.0.1325DMZ→LAN許可
IP**172.16.0.0/16*DMZ→LAN禁止
IP172.16.10.0/24***DMZ→WAN許可
IP172.16.0.0/16***LAN→WAN許可
IP172.16.0.0/16***LAN→DMZ許可

[TableSS14-04:フィルタリングテーブル]

おねーさん

そうそう、6方向あるから、全部書いて。
あと、方向は重要だからね。

ほげたん

DMZ→LANとかだよね。なんで?

おねーさん

こういうことが起こるからよ。

方向のないフィルタ

[FigureSS14-04:方向のないフィルタ]

おねーさん

本来、内部LANからWANへの許可してあるフィルタがあったとして。
WAN側から、内部LANのIPアドレスに送信元を偽装されたパケットがきたら?

ほげたん

フィルタだけ見たら、通っちゃうね…。

おねーさん

でしょ。だから、普通パケットフィルタには方向が必須なのよ。
後は、そうねぇ、パケットフィルタの弱点って知ってるわよね? パケットフィルタでは防げないものがあるってこと。

ほげたん

フィルタ条件にさえあえば通過してしまうところだよね。

おねーさん

そう。DoSなどは防げないってわけね。フィルタ条件に一致さえすればあとは見ないから。
だからこそのステートフルインスペクションなんだけどね。

ほげたん

あれって、ファイアウォールに十二分なスペックないとキツイらしいね。

おねーさん

ブロードバンドルータに「ステートフルインスペクション機能搭載」なんてあって。
どれどれ〜って試してみたら、ルータがハングアップしたそうよ。

ほげたん

ブロードバンドルータごときのスペックでインスペクションはちょっと無茶かも。

おねーさん

まぁ、ちょっと知ってる素人騙せるからいいんじゃないの?

ほげたん

またそういう事言う〜。
どうしてそう敵を作りそうなこというかなぁ。

おねーさん

ほら、だってブロードバンドルータがあればセキュリティ大丈夫!! とか言っちゃう人がいるご時世なのよ。
それ、本物のセキュリティ機器知らないだけだから、みたいな〜。

ほげたん

まぁ、そうだけどさ。ブロードバンドルータの機能程度でファイアウォールとか語られると困るけどね。

おねーさん

でも、最近のブロードバンドルータって機能満載でさ。こないだ新しいモノの設定画面見せてもらったけど、拡張設定わけわかんなくて。

ほげたん

いや、ここでそんなこと白状されても。

おねーさん

ま、いいわ。じゃまた次回ね。
おね〜さんと、

ほげたん

ほげたんのっ!!

おねーさん

3 Minutes Networking、

ほげたん

Step by Step !! でした〜〜〜っ!!
まったね〜〜〜!!

3 Minutes Networking Step-by-Step No.14

管理人:aji-ssz(at)selene.is.dream.jp