3 Minutes Networking Step-by-Step
No.14

ネットワークなぜなに講座

構築第14回ファイアウォールを設定しよう

■ 構築問題 第十四問

おねーさん

おね~さんと、

ほげたん

ほげたんのっ!!

おねーさん

3 Minutes Networking、

ほげたん

Step by Step !!

おねーさん

ん~っと、DMZまで作成して、ネットワークの大枠は出来上がったわね。

ほげたん

そうなの?

おねーさん

そう。いいかしら、ほげたん?
これからIDCが入ったり、IP-VPNが入ったりするかもしれないけど。

ほげたん

けど?

おねーさん

現在の形が基本形ってことを忘れないようにね。

ほげたん

今の形が基本?
FWがあって、DMZがあって、外部接続ルータがあって……。

おねーさん

そうそう、その形。今後はこれを発展させていくわけよ。

ほげたん

へ~。

おねーさん

で、その前に。
ファイアウォールの設定がまだだったわよね。

ファイアウォールを設定しなさい

第十四問

[FigureSS13-01:第十四問]

  • ファイアウォールを設定し、内部ネットワークを守りなさい
    • 現在のネットワーク構成は第十三回の問題と同じとする
    • DMZの3つのサーバは、そのサービスのみを外部に公開する
    • 外部メールサーバは受け取ったメールを内部メールサーバへ転送する
    • グローバルIPアドレスとして200.100.10.0/28を使用する
ほげたん

つまり、いくつの項目を設定すればいいの?

おねーさん

ん?
そうね、IPアドレス、NATテーブル、パケットフィルタの3つは必要ね。

ほげたん

ん~、結構大変だ~。

解答は非表示になっています。自分なりの答えができた方は表示させてください

■ 構築問題 第十四問 解答

ほげたん

んと、まず。
IPアドレスからいこうかと思ってるんだけど?

おねーさん

はいはい、どうぞ。

ほげたん

……、DMZのアドレスってどうすればいいの?

おねーさん

さぁ?

ほげたん

む~~~。そのとぼけた顔がニクい。

おねーさん

あら? そう?

ほげたん

ともかく、インターネットからアクセスできなきゃいけないんだから……こう?

ほげたんの解答

[FigureSS13-02:ほげたんの解答]

おねーさん

ふ~ん。グローバルIPアドレスの/28を、さらに2つにわけて(/29)、FWの外側と、DMZに割り振ったわけね。

ほげたん

うん。グローバルIPアドレスがないと、外部からアクセスできないでしょ?

おねーさん

ほげたん? ファイアウォールの本質はなんだっていったっけ?

ほげたん

え? NAT

おねーさん

そうよねぇ、NATよねぇ。で、この図だと、LAN→WANはNATかけて、DMZ→WANはNATかけない?

ほげたん

う、うん。そうなるよ。

おねーさん

ま、そういうことも可能だけどさ。
でもね、普通、DMZはプライベートIPアドレスを割り振るのよ。

ほげたん

え? あ? そうなの?
でも、プライベートなら、外部からアクセスが……。

おねーさん

なんのための、NATなのよ。

ほげたん

あ、あぁ、そうか。

おね~さんの解答

[FigureSS13-03:おね~さんの解答]

おねーさん

ま、こんな形。

ほげたん

でも、なんでプライベートにするの? 僕の案でもいいじゃないかなぁ。

おねーさん

そうかも。でもね、プライベートにして、NATによる変換によるアクセスって形にすると。
まず、グローバルIPアドレスの無駄がなくなるでしょ?

ほげたん

うん、それはそうだね。
/28を/29の2つにしちゃったから、ネットワークとブロードキャストで4つ使えないアドレスが増えたからね。

おねーさん

もう1つ。プライベートならNATされないとアクセスできなくなるわけでしょ?
パケットフィルタに加えて、NATというアクセス制限がかけれるのよ。

ほげたん

は~。なるほど。

おねーさん

ほげたんの方式だと、200.100.10.8/29のアドレスならアクセスされちゃうわけだしね。
まぁ、パケットフィルタはされるけど。

ほげたん

だから、プライベートを使うのかぁ。

おねーさん

使わない、ほげたん方式もある、かな? おね~さんはプライベートの方式しかしらないけど。
ともかく、次はNATテーブルをよろしく。

ほげたん

NAT、NAT…。

分類インタフェースIPアドレスインタフェースIPアドレス
NAPTWAN200.100.10.2LAN172.16.0.0/24
LAN172.16.1.0/24
LAN172.16.2.0/24

[TableSS14-01:NATテーブル・1]

ほげたん

内部→外部のNAPTと…。

分類インタフェースIPアドレスインタフェースIPアドレス
NATWAN200.100.10.11DMZ172.16.10.11
WAN200.100.10.12DMZ172.16.10.12
WAN200.100.10.13DMZ172.16.10.13

[TableSS14-02:NATテーブル・2]

ほげたん

DMZ→外部のスタティックNAT。公開サーバへの変換だね。

おねーさん

うん、で?

ほげたん

で、って? もうないよ。

おねーさん

LAN→DMZでもNATは必要よ。

分類インタフェースIPアドレスインタフェースIPアドレス
NAPTDMZ172.16.10.128/25LAN172.16.0.0/24
LAN172.16.1.0/24
LAN172.16.2.0/24

[TableSS14-01:NATテーブル・3]

ほげたん

そうなの? DMZとLANって同じプライベートだから必要ないかと…。

おねーさん

基本的に、ファイアウォールを通過する際は必ずNATされると考えなさい。
イメージ的にはルーティングではなくNATによる通過、かな?

ほげたん

ファイアウォールでは、ルーティングというよりも、NATによって通過している……。
ルーティングしないの?

おねーさん

するわよ。あくまでもイメージ的には、ね。
さて、最後にパケットフィルタを書いてね。前の図を忘れないように。

ファイアウォールの動作

[FigureSS13-04:ファイアウォールの動作]

おねーさん

この図ね。

ほげたん

は~い。

プロトコル送信元IPアドレス送信元ポート宛元IPアドレス宛元ポート方向動作
TCP**172.16.10.1180WAN→DMZ許可
TCP**172.16.10.1253WAN→DMZ許可
TCP**172.16.10.1325WAN→DMZ許可
IP**172.16.10.0/24*WAN→DMZ禁止
IP**172.16.0.0/16*WAN→LAN禁止
TCP172.16.10.13*172.16.0.1325DMZ→LAN許可
IP**172.16.0.0/16*DMZ→LAN禁止
IP172.16.10.0/24***DMZ→WAN許可
IP172.16.0.0/16***LAN→WAN許可
IP172.16.0.0/16***LAN→DMZ許可

[TableSS14-04:フィルタリングテーブル]

おねーさん

そうそう、6方向あるから、全部書いて。
あと、方向は重要だからね。

ほげたん

DMZ→LANとかだよね。なんで?

おねーさん

こういうことが起こるからよ。

方向のないフィルタ

[FigureSS14-04:方向のないフィルタ]

おねーさん

本来、内部LANからWANへの許可してあるフィルタがあったとして。
WAN側から、内部LANのIPアドレスに送信元を偽装されたパケットがきたら?

ほげたん

フィルタだけ見たら、通っちゃうね…。

おねーさん

でしょ。だから、普通パケットフィルタには方向が必須なのよ。
後は、そうねぇ、パケットフィルタの弱点って知ってるわよね? パケットフィルタでは防げないものがあるってこと。

ほげたん

フィルタ条件にさえあえば通過してしまうところだよね。

おねーさん

そう。DoSなどは防げないってわけね。フィルタ条件に一致さえすればあとは見ないから。
だからこそのステートフルインスペクションなんだけどね。

ほげたん

あれって、ファイアウォールに十二分なスペックないとキツイらしいね。

おねーさん

ブロードバンドルータに「ステートフルインスペクション機能搭載」なんてあって。
どれどれ~って試してみたら、ルータがハングアップしたそうよ。

ほげたん

ブロードバンドルータごときのスペックでインスペクションはちょっと無茶かも。

おねーさん

まぁ、ちょっと知ってる素人騙せるからいいんじゃないの?

ほげたん

またそういう事言う~。
どうしてそう敵を作りそうなこというかなぁ。

おねーさん

ほら、だってブロードバンドルータがあればセキュリティ大丈夫!! とか言っちゃう人がいるご時世なのよ。
それ、本物のセキュリティ機器知らないだけだから、みたいな~。

ほげたん

まぁ、そうだけどさ。ブロードバンドルータの機能程度でファイアウォールとか語られると困るけどね。

おねーさん

でも、最近のブロードバンドルータって機能満載でさ。こないだ新しいモノの設定画面見せてもらったけど、拡張設定わけわかんなくて。

ほげたん

いや、ここでそんなこと白状されても。

おねーさん

ま、いいわ。じゃまた次回ね。
おね~さんと、

ほげたん

ほげたんのっ!!

おねーさん

3 Minutes Networking、

ほげたん

Step by Step !! でした~~~っ!!
まったね~~~!!

3 Minutes Networking Step-by-Step No.14

管理人:aji-ssz(at)selene.is.dream.jp