4-5. ファイアウォール (IPv6)

Similar documents
4-4. ファイアウォール (IPv4)

conf_example_260V2_inet_snat.pdf

LSFE_FW

v6 プラス IPv4 設定ソフトウェア ユーザ操作マニュアル 第 2 版 2017 年 5 月 15 日

2

R80.10_FireWall_Config_Guide_Rev1

PowerPoint Presentation

1. 概要 この章では HDE Controller X LG Edition をお使いの方に向けて LGWAN 接続に特化した設定の説明をします HDE Controller X LG Edition 以外の製品をご利用のお客様はこの章で解説する機能をお使いになれませんのでご注意ください 452

Mailman管理者マニュアル

HDE Controller X 1-4. メーリングリスト

レプリケーションについて レプリケーション元に設定したメイン機の共有フォルダーと レプリケーション先に指定した予備機の共有フォルダーを同期し 同じ状態に保ちます (LAN 環境により遅延が発生します ) 遠隔地へのレプリケーションにより メイン機側での災害 事故によるデータ損失のリスク低減ができます

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

Windows Server 2003 Service Pack 適用手順書

Managed Firewall NATユースケース

ADSLモデム

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

2. 留意事項利用する際には再度 メーリングリスト利用手引き をよく理解してから 利用してください また メーリングリストを管理画面にログインする際には ユーザ ID を必要としません これは管理者を定期的に変更して継続してメーリングリストを運営 管理することや 複数人で共同してメーリングリストを運

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

Syslog、SNMPトラップ監視の設定

1. 一般設定 グローバル設定 ここでは 以下の 4 つのケースを想定し ファイルサーバーを設定する手順を紹介します 既に Windows ネットワーク上に存在するワークグループに参加する場合 Windows ネットワーク上に新たにワークグループを作成する場合 既に Windows ネットワーク上に

FTPサーバーへのアクセス権限設定

_mokuji_2nd.indd


1. ユーザー管理 サーバーや特定のサービスにアクセスするためには サーバー上にユーザーアカウントが設定されている必要があります また ユーザーごとに利用環境などを個別に設定することができます また ユーザーの管理の簡便化を図るためにグループが設定できます グループを設定することで ユーザーごとの設

PLESK 操作マニュアル - 目次 - ログイン / ログアウト...3 データ利用状況一覧...5 データ使用量の確認...6 アカウント情報 ( 企業名 担当者 住所 ログインパスワード メールアドレス等 ) の編集...9 コントロールパネルのパスワードを忘れた場合...10 メールユーザー

UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 All Rights Reserved, Copyright(C) NEC Corporation 2017 年 11 月 4 版

VoIP ゲートウェイ WEB 操作ガイド GW(COT)/GW(BRI) 第 1.0 版 2019 年 4 月 ソフトバンク株式会社

目次 はじめに... Web メールを利用する.... ログインする.... ログアウトする... 6 Web メールの使い方 受信メールを表示する メールを送信する 連絡先を使用してメールの宛先を指定する 新しい受信メールを表示する メー

使用説明書

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

起動する 起動方法は ご使用の OS により異なります 同一ネットワーク内で 本ソフトを複数台のパソコンから起動すると 本ソフト対応の LAN DISK にアクセスが集中し エラーとなる場合があります [ スタート ] メニュー [( すべての ) プログラム ] [I-O DATA] [LAN D

User's Manual補足:遠隔監視

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

Web フィルタリング 操作マニュアル

ADSL モデムユーザーズマニュアル目次 第 1 章設定の準備 管理メニューを表示する ログインパスワードの設定 3 第 2 章設定が装置に反映されるまでの流れ 5 第 3 章接続に必要な設定を行う LAN 側インタフェースの設定変更 ADSL(W

リモートアクセス Smart Device VPN ユーザマニュアル [ マネージドイントラネット Smart Device VPN 利用者さま向け ] 2015 年 10 月 20 日 Version 1.6 bit- drive Version 1.6 リモートアクセス S

(Microsoft Word - \203\214\203\223\203^\203\213\203T\201[\203o\220\335\222\350\203K\203C\203h_ doc)

スライド 1

1. ネットワーク経由でダウンロードする場合の注意事項 ダウンロード作業における確認事項 PC 上にファイアウォールの設定がされている場合は 必ずファイアウォールを無効にしてください また ウイルス検知ソフトウェアが起動している場合は 一旦その機能を無効にしてください プリンターは必ず停止状態 (

InfoPrint 5577-G05/H05 ネットワーク設定ガイド(第7章 Q&A)

目次 1. PDF 変換サービスの設定について )Internet Explorer をご利用の場合 )Microsoft Edge をご利用の場合 )Google Chrome をご利用の場合 )Mozilla Firefox をご利

クラスタ構築手順書

仕分け名人クラウド 設定マニュアル

<4D F736F F F696E74202D208CA48B868FD089EE288FDA82B582A294C5292E B8CDD8AB B83685D>

インストール手順 2 セットアップの種類 [ 標準インストール (S)] [Thunderbird を既定のメールプログラムとして使用する (U)] にチェックを入れ [ 次へ (N)] をクリックします インストール手順 3 セットアップ設定の確認 [ インストール (I)] をクリックします 2

スタートメニュー から すべてのアプリ をクリックします すべてのアプリ (Windows アクセサリの中にある場合もあります ) の中から Internet Explorer を探します Internet Explorer をクリックすると Internet Explorer が開きます () I

プリンター設定編 1. はじめに本マニュアルは シャープ製の複合機に対するスキャン設定 FAX 転送設定を行うためのマニュアルです FAX 転送をご利用されるお客様もスキャン設定が必要です 固定のグローバル IP を利用しておらず コース SMB-S20 SMB-S100( 共用型 ) をご利用のお

セキュリティを高めるための各種設定_表紙

スライド 1

関連メニュー

HDE Controller X HDE Controller 設定

コントロールパネルメールアカウント登録 設定手順書 内容 コントロールパネルへログインする... 2 メールアカウントの新規作成... 4 メールアカウント設定: 共通項目... 6 メールアカウント設定: メールアドレスおよびパスワードの変更... 7 メールアカウント設定: 転送設定... 8

PowerTyper マイクロコードダウンロード手順

コントロールパネルメールアカウント登録 設定手順書 内容 コントロールパネルへログインする... 2 メールアカウントの新規作成... 4 メールアカウント設定: 共通項目... 6 メールアカウント設定: メールアドレスおよびパスワードの変更... 7 メールアカウント設定: 転送設定... 8

CSR生成手順-Microsoft IIS 7.x

クローン機能について 保存先が HDLH シリーズの場合マスタースレーブファイル 設定のコピー HDLH シリーズ 台をそれぞれマスター / スレーブとして構成し マスターの設定やファイルをスレーブに保存します ファイルの保存はレプリケーション機能を利用しておこなわれます 社内 LAN マスター故障

Syslog、SNMPトラップ監視の設定

Internet Initiative Japan Inc. プロトコルの脆弱性 ( 株 ) インターネットイニシアティブ 永尾禎啓 Copyright 2004, Internet Initiative Japan Inc.

アルファメール 移行設定の手引き Outlook2016

LCV-Net セットアップガイド macOS

Confidential

サインズホスティングサービス  簡易ユーザーマニュアル 「管理者編」

HDE Controller X 1-5. DNS サーバー

ひかり電話対応機器をご利用の方接続設定方法 1 ブラウザーを起動し アドレス ( を入力します 2 お好きなパスワードを入力し 設定 をクリックします ここでお決めいただいたパスワードは 必ずお控えください 既にパスワードを設定済みの場合は 手順 3 へ 3

Microsoft Word - シャットダウンスクリプトWin7.doc

SURFNAVIへのW2003SP2適用時の注意

目次 第 1 章 ユーザーアカウント ( メールアドレス ) の取得 サービス内容の確認 インターネット環境設定通知書の確認 アカウントについて 4 ユーザーアカウントを登録する ユーザーアカウントを登録する サービス

インストーラー 管理番号 内容 対象バージョン 230 HULFT がすでにインストールされているパスに対してサイレントインストールを実行すると インストールされていた HULFT の動作環境が不正な状態になる 7.3.0~7.3.1 ユーティリティ 管理番号 内容 対象バージョン 231 管理情報

1. 信頼済みサイトの設定 (1/3) この設定をしないとレイアウト ( 公報 ) ダウンロードなどの一部の機能が使えませんので 必ず設定してください 1 Internet Explorer を起動し [ ツール ]-[ インターネットオプション (O)] を選択します 2 [ セキュリティ ] の

掲示板ガイド1

IPMATE1600RD.book

Microsoft Word - XOOPS インストールマニュアルv12.doc

Solar Link ARCH ソーラーリンクアーク Step 1 ログイン ログイン方法 1. Web ブラウザを立ち上げて 一括監視画面 URL にアクセスします 2. ログイン画面が表示されます 3. マスター ID とマスターパスワードを入力し ログイン状態を保持する に必ずチェックを入れて

目次 1. Web ブラウザからメールを利用する (Web メール ) Web メール画面へのアクセス 電子メール メールの作成 メッセージの一覧に戻る アイコンについて スペルチェックについて... 5

コントロールパネルメールアカウント登録 設定手順書 内容 コントロールパネルへログインする... 2 メールアカウントの新規作成... 4 メールアカウント設定: 共通項目... 7 メールアカウント設定: メールアドレスおよびパスワードの変更... 8 メールアカウント設定: 転送設定... 9

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

ポップアップブロックの設定

(4) 変更するアカウントを選びます の下に 作成したアカウント FAX が表示されているので クリックします (5) [ パスワードを作成する ] をクリックします (6) [ 新しいパスワード ] 欄に設定するパスワード ( ここでは例として fax ) を入力します [ 新しいパスワードの確認

MC860dn/MC860dtn スキャン To CIFS(Windows 7 Professional) Rev.0.1 スキャン To CIFS は スキャンしたデータをネットワーク上の Windows PC の共有フォルダに転送する機能です 以下の操作にはコンピュータの管理者の

Microsoft Word - ssVPN MacOS クライアントマニュアル_120版.doc

iExpressソフトフォン TE20-ST-EX

9 WEB監視

Taro-time to spare.jtd

SiTCP ユーティリティユーザガイド 2014 年 6 月 18 日 0.73 版 Bee Beans Technologies 1

III 1 R el A III 4 TCP/IP プロトコルと 関連する各種上位プロトコルの基礎を学ぶ 具体的には 各プロトコルを実装したコマンド ( アプリケーションプログラム ) を実行し 各プロトコルの機能等を確認する また 同じプロトコルを実装したコンピュータ間では OS

CSR生成手順-OpenSSL

Simple Violet

Biz パスワードクライアント操作マニュアル Android 編 1.01 版 2013 年 12 月 20 日 NTT コミュニケーションズ株式会社 NTT Communications 2013 All Rights Reserved

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

もくじ はじめに 3 TOPTOWERNET をご利用いただくために 3 TCP/IPの設定 windows XP 編 4 windows 2000 編 7 windows 95/98/Me 編 9 Mac OS 編 12 WEB ブラウザの設定 Internet Explorer 6.0 編 14

第5回 マインクラフト・プログラミング入門

BizBrowser SmartDevice Android開発用スタートアップガイド

DJM-900nexus アップデート方法 for Microsoft Windows 7 A. 展開したファイルの内容を確認してください : 1. ダウンロードしたファイルを展開します ダウンロードしたファイルを右クリックし 表示されたメニューから すべて展開 を選びます 展開先を指定してファイル

拠点間 VPN オプション設定手手順書 お客客様環境お客様様宅環境のネットワーク構成を下図図に記入しておきます 接続方法 ( )PPPoE ( )Static ( )DHCP IP アドレス ( グローバル )... 接続の詳細情情報ユーーザ ID パスワード 接続の詳細情情報 IP アドレスネット

PowerPoint プレゼンテーション

Solar Link ARCH ソーラーリンクアーク Step 1 ログインと ID パスワードの変更 施工の際 一括監視画面に計測値が正常に表示されるかを施工ご担当者様にて確認する必要があります そのため まずは 設定メニュー画面 にログインして頂き 施工ご担当者様へ開示可能な ID パスワードに

改訂履歴 日付バージョン記載ページ改訂内容 V2.1 - 初版を発行しました V3.1 P5 ドキュメントラベルが新規追加された事を追記 P7 P8 新しくなったラベルのツリー表示説明を追記 新しくなったラベルの作成 削除操作を追記 P9 ラベルのグループ

Microsoft Word - TE4571 詳細_本文.doc

改版履歴 版年月改訂内容改訂箇所 7.0 版平成 30 年 10 月 Web ブラウザ編 6.1 版を機能別に分冊しました

NSS利用者マニュアル

Transcription:

4-5. ファイアウォール (IPv6)

1. 概要 ファイアウォールでは外部からのアクセスや攻撃を防御するためのパケットフィルターの設定 管理をすることができます パケットフィルター系のメニューでの設定内容はパケットフィルターの再起動 または Linux の再起動を行うことで反映されます パケットフィルター パケットフィルターは IP 層でのフィルタリングを行います アプリケーション層でのフィルタリングと違い より高速にフィルタリング処理を行うことができます 単純なパケットフィルタリングでは ftp のような複数ポートが関連付けられて処理をする場合などに完全対応することはできません HDE Controller では iptables のステートフル インスペクションに対応していますので このような場合も正確なフィルタリングを行うことができます パケットフィルターは下記の 3 種類を独立してフィルタリングすることができます 入力パケットフィルタリング 他のホストから送信されたパケットを受信するときのフィルタリングです 出力パケットフィルタリング 他のホストへ送信するパケットのフィルタリングです 通過パケットフィルタリング 他のホストから他のホストへ送信するパケットで このサーバーを通過して送信されるようなパケットのフィルタリングです 入力パケットフィルタリング ホスト = 入力 => Linux 出力パケットフィルタリング ホスト <= 出力 = Linux 通過パケットフィルタリング ホスト = 入力 => Linux( 転送 ) = 出力 => ホスト 328 HDE Controller X ユーザーマニュアル

フィルタリング機能 フィルタリングは下記のような階層で構築されています パケットフィルタ管理 入力フィルタ 出力フィルタ フィルタ : : フィルタ フィルタ : フィルタ ルール : : ルール 基本情報設定 IP タイプ別設定処理設定基本情報設定 IP タイプ別設定処理設定 通過フィルタ フィルタ : フィルタ パケットフィルター管理は 入力フィルター 出力フィルター 通過フィルターの 3 つからなっています 各 3 つのフィルターは それぞれの複数のフィルターとして定義されています フィルターは 複数のルールを束ねた情報になります フィルターには個別に名称 コメント 有効化 簡易パケットフィルターへの表示 ( 可視化 ) 設定 ルールが設定できます フィルター名 コメント 有効化 全てのフィルターには名前が必要です 名前は英数字とアンダーラインでのみ構成でき (1 文字目は英字のみ )20 文字まで使用することができます フィルター名は受信 送信 通過別であれば同名を使用することができますが その中では同名は使用できません フィルターのコメントです 使用目的などを記述するといいでしょう このコメントは 簡易パケットフィルター管理 の項目名を兼ねます フィルターの有効化の設定です ここをチェックすると該当フィルターは有効になります 一時的にフィルターをはずしたりするときに利用できます 4-5. ファイアウォール (IPv6) 329

可視化 ルール 簡易パケットフィルター管理 で該当フィルターを表示するかどうかを指定します ここをチェックすると 簡易パケットフィルター管理 で表示されますが チェックをはずすと表示されません 日常の管理者には 簡易パケットフィルター管理 を渡す場合に 変更されたくないフィルターはチェックを外し 表示させないようにするといいでしょう 実際のフィルタリングルールの設定です フィルタリングルールはひとつのフィルターで複数個使用することができます 330 HDE Controller X ユーザーマニュアル

パケットフィルター画面構成 パケットフィルターの画面構成は下記のようになっています パケットフィルター設定 パケットフィルターの全体的な設定を行います また iptables としての設定もここで行います パケットフィルター管理 フィルタリングルールの管理を行います HDE Controller で実現可能な設定項目はすべてここで設定を行うことが可能です 簡易パケットフィルター管理 フィルタリングルールを簡易的に表示した管理画面です 表示する項目は パケットフィルター管理 メニューで修正することができます パケットフィルター状態 フィルタリング状態を閲覧することができます この画面で iptables の起動 停止を行うこともできます 4-5. ファイアウォール (IPv6) 331

2. パケットフィルター設定 (IPv6) 基本設定 パケットフィルター全体の設定を行います ここでの設定のほとんどはパケットのフィルタリング処理全体に影響します サーバー起動時の動作 Linux を起動したときに同時にパケットフィルターを起動するかどうか指定をします チェックを付けると Linux を起動したときに同時に起動します パケットフィルターの使用 iptables を起動したときに パケットフィルターを設定するかどうかを指定します チェックを付けると iptables の起動時にパケットフィルターを設定します フィルター毎のデフォルトルール パケット受信受信するパケットのデフォルトルールを指定します 許可 を選ぶとパケットを受信し 破棄 を選ぶとパケットを破棄します パケット送信送信するパケットのデフォルトルールを指定します 許可 を選ぶとパケットを送信し 破棄 を選ぶとパケットを破棄します パケット通過通過するパケットのデフォルトルールを指定します 332 HDE Controller X ユーザーマニュアル

許可 を選ぶとパケットを通過転送し 破棄 を選ぶとパケットを破棄します 高度な設定 モジュール設定 iptables で使用するモジュールを設定します モジュールは主にステートフル系と NAT 系があります ステートフル系 NAT 系 このモジュールは主に複数ポートを用いるアプリケーションに対して制御を行う場合に使用します 例えば ftp のアクティブ接続や IRC の DCC 機能などが該当します ステートフル系のモジュールは ip_conntrack で始まるモジュール名が該当します インターネットとのルーター ゲートウェイを設置し プライベートネットワークを構築した環境では通常 NAT や NAPT を使用しますが そのような環境で Linux を使用する場合 アプリケーション層のアドレス変換も行わなければなりません NAT 系のモジュールはそういった場合に使用します NAT 系のモジュールは ip_nat で始まるモジュール名が該当します その他の設定 TCP/IP の MSS の自動調整 ADSL 回線などでルーター ゲートウェイにする場合にチェックします ここをチェックすることで 分断されたパケットを正確に送受信することができるようになります Web ブラウザなどで 一部のサイトが見られない といった場合にチェックをいれると改善される場合があります 4-5. ファイアウォール (IPv6) 333

3. パケットフィルター管理 (IPv6) フィルタリングルールの構築を行います インターフェース毎の設定 この画面ではネットワークインターフェース毎のパケットの処理を設定します ネットワークインターフェース毎にフィルタリングを行うときに使用します 使用する場合は 編集 ボタンをクリックします ここの設定対象になったインターフェースを対象としたパケットはフィルタリングルールで検査されませんので注意してください 334 HDE Controller X ユーザーマニュアル

ループバック (lo) ループバックインターフェース (lo) に対してのパケットの処理を設定します 暗黙で許可 破棄せずにルールで検査するループバックインターフェースに対するパケットをフィルタリングルールで検査します 常に許可するループバックインターフェースに対するパケットをすべて許可します 常に破棄するループバックインターフェースに対するパケットをすべて破棄します ループバックインターフェースはほとんどの場合において常に破棄する必要はありません 常に破棄すると多くのアプリケーションが処理を行えなくなる可能性があります PPP 暗黙で許可 破棄せずにルールで検査する PPP インターフェースに対するパケットをフィルタリングルールで検査します 常に許可する PPP インターフェースに対してのパケットをすべて許可します 常に破棄する PPP インターフェースに対してのパケットをすべて破棄します イーサネット 暗黙で許可 破棄せずにルールで検査するインターフェース単位での許可 破棄はせずにすべての処理をフィルタリングルールの検査によって行います 常に許可するイーサネットインターフェースに対してのパケットをすべて許可します 4-5. ファイアウォール (IPv6) 335

常に許可するインターフェースを指定する指定されたイーサネットインターフェースに対してのパケットをすべて許可します 常に破棄するイーサネットインターフェースに対してのパケットをすべて許可します 常に破棄するインターフェースを指定する指定されたイーサネットインターフェースに対してのパケットをすべて破棄します 336 HDE Controller X ユーザーマニュアル

フィルター追加 フィルター ( フィルタリングルール群 ) を追加するときに使用します フィルター順位 新規に追加する順位を指定します 既にその番号の順位がある場合は下にずれることになります フィルター名 フィルタリンググループ名を指定します 名前は半角英数字とアンダーラインの組み合わせで 20 文字まで指定できます フィルター一覧 登録されているフィルターグループの一覧です 各項目は フィルタリング機能 を参照ください 各項目を記入し 追加 ボタンをクリックするとフィルターが追加されます フィルタリングルールを設定するため追加されたフィルター名の 編集 ボタンをクリックします 4-5. ファイアウォール (IPv6) 337

ルール管理 ルール管理ではフィルター内に定義するフィルタリングルールの管理を行います また フィルターの名称 コメントなどの設定をすることもできます 338 HDE Controller X ユーザーマニュアル

フィルター設定 フィルタリングルールを管理するフィルターの設定を行います フィルター名 : フィルター名を設定します 有効文字数などはフィルター管理の画面に準じます コメント : フィルターにコメントを設定します ここで設定したコメントが 簡易パケットフィルター管理 メニューの一覧表示に使用されます 有効化 : フィルタリンググループをパケットフィルタリングの設定に使用するかどうかを指定します 可視化 : 簡易パケットフィルター管理 メニューで該当フィルタリングルールを表示するかどうかを指定します 可視化を有効に使うことで サーバー設置者が パケットフィルター管理 メニューでフィルタリングルールを構築し 操作されたくないフィルタリングルールの可視化のチェックボックスをはずす サーバー運用者が 簡易パケットフィルター管理 メニューを用いて設定の調整を行うといったことができます ルール追加 フィルタリングルールを追加します フィルタリングルールの追加はルール順位で追加する順位を指定します 追加したルールは すべてのパケットを許可 として追加されるので 該当番号の 編集 ボタンをクリックし フィルタリングルールの編集作業に入ります ルール一覧 フィルターに含まれるルールの一覧です 編集 ボタンをクリックすることで各ルールを編集することができます 4-5. ファイアウォール (IPv6) 339

ルール設定 この画面ではフィルタリングルールの設定を行います 基本情報 基本情報はフィルタリングルールの順位とルールが含まれるフィルター名が表示されます 340 HDE Controller X ユーザーマニュアル

ネットワーク設定 ネットワーク設定はパケット検査の基本的な設定を行います 送信元ネットワーク パケットの送信元ネットワークの情報を設定します パケットを受信 通過転送をする場合はこの項目はパケットの送信元を指定します パケットを送信する場合はこの項目は自分自身のネットワークのいずれかを指定します 未指定の場合はすべてのネットワークからのパケットが対象になります 受信先ネットワーク パケットの送信先ネットワークの情報を設定します パケットを受信する場合はこの項目は自分自身のネットワークのいずれかを指定します パケットを送信 通過転送をする場合はこの項目はパケットの送信先を指定します 未指定の場合はすべてのネットワークからのパケットが対象になります 入力インターフェース パケットを受信 通過転送するときのインターフェースを指定します インターフェースは固有の名称 (eth0 など ) でも指定できますし インターフェースのカテゴリ ( すべてのイーサネットインターフェースなど ) という指定もできます 入力インターフェースの設定は送信フィルターでは使用しません 未指定の場合はすべてのインターフェースからのパケットが対象になります 出力インターフェース パケットを送信 通過転送するときのインターフェースを指定します インターフェースは固有の名称 (eth0 など ) でも指定できますし インターフェースのカテゴリ ( すべてのイーサネットインターフェースなど ) という指定もできます 出力インターフェースの設定は受信フィルターでは使用しません 未指定の場合はすべてのインターフェースからのパケットが対象になります 状態指定 パケットに関連するネットワークのセッション接続状態による検査を行います 未指定パケットのセッション接続の検査は行いません 指定するパケットのセッション接続の検査を行います 状態検査は下記の種類のいずれかを組み合わせて指定できます (1) 接続要求 (NEW): 新規にセッション確立を要求するパケット (SYN) を対象とします 4-5. ファイアウォール (IPv6) 341

(2) 接続済み (ESTABLISHED): 既に接続されているセッションのパケットを対象とします (3) 関連接続 (RELATED): 複数ポートでセッションが確立しているパケットを対象とします (4) 不当接続 (INVALID): TCP フラグが不正な場合など不当なパケットを対象とします 342 HDE Controller X ユーザーマニュアル

プロトコル設定 ICMP 対象になるパケットのプロトコルの設定をします ICMP TCP/IP UDP IGMP の指定ができ 指定する場合はプロトコルのチェックボックスをチェックします いずれのプロトコルのチェックをしなかった場合はすべてのプロトコルが対象になります ICMP のチェックボックスにチェックを入れると ICMP パケットを対象とした検査を行います ICMP パケットは下記の条件を追加指定することができます 種類指定 エコー返答送信先未到達エコー要求 TTL 切れ エコー要求 (Echo Request) への返答 (Echo Reply) パケットです 主に ping コマンドで使用されます 送信先機器が無かった場合のルーターなどからの返答です エコー要求 (ping) パケットです 主に ping コマンドで使用されます パケットの生存期間 (TTL) が切れた時の応答パケットです 主に traceroute などで利用されます TCP TCP/IP のチェックボックスにチェックを入れると TCP/IP パケットを対象とした検査を行います TCP/IP パケットは下記の条件を追加指定することができます ポート指定パケットの送信元ポートと送信先ポートをそれぞれ指定します ポートは カンマ (,) 区切りで複数指定することができます また コロン (:) を使用してポートを範囲指定することができます 入力値としてカンマを使用する場合は 同時にコロンを使用することができません フラグ指定検査対象になる TCP フラグを指定します フラグはマスクと値を別々に指定します マスクは対象のパケットからビット演算でマスクします ( チェックがついているビットのみ残す ) 次にマスク後の値と指定の値を比較して同じ値になった場合は そのパケットが処理対象になります 4-5. ファイアウォール (IPv6) 343

UDP UDP のチェックボックスにチェックを入れると UDP パケットを対象とした検査を行います UDP パケットは下記の条件を追加指定することができます ポート指定パケットの送信元ポートと送信先ポートをそれぞれ指定します ポートは カンマ (,) 区切りで複数指定することができます また コロン (:) を使用してポートを範囲指定することができます 入力値としてカンマを使用する場合は 同時にコロンを使用することができません IGMP IGMP のチェックボックスにチェックを入れると IGMP パケットを対象とした検査を行います IGMP は追加で指定できる条件はありません 処理設定 ルールに適応したパケットの処理を設定します 処理適応したパケットの処理方法を指定します 許可する 破棄する 拒否する **** を実行する 対象のパケットを正常処理します 対象のパケットを単に破棄します 対象のパケットを拒否します この場合パケットの拒否をしたことを 送信元に通知します ( 他のフィルタリングルールに推移する ) 別のフィルタリングルールに検査を推移します 処理頻度制限 適応するパケットの制限をします これは DoS 的なパケットを防御するような場合に使用します 344 HDE Controller X ユーザーマニュアル

設定例 (2 つのルールで指定します ) ICMP を 10 パケット / 秒 まで受ける ICMP を拒否する この例では 1 秒以内に 10 個までのパケットは許可しますが それ以上に送られたパケットは拒否することになります ログ記録 対象のパケットを処理するときにログにパケットの情報を記録します ログ管理 の ログ閲覧 から確認できます ログに追加する文字列 ログに記録するメッセージの行頭に指定の文字列を付加します ログ監視などと併用することで不正なパケットを検知することができます 4-5. ファイアウォール (IPv6) 345

4. 簡易パケットフィルター管理 (IPv6) 簡易パケットフィルター管理は パケットフィルター管理 メニューをより簡易的なインターフェースにしたメニューです 項目は パケットフィルター管理 メニューで 可視化 がチェックされたフィルタリンググループです 外部からのアクセスの 許可する をチェックすることで該当フィルタリンググループ内のルールを全て 許可する にします チェックを外すと全て 破棄する にします ログ記録する をチェックすると全てのフィルタリングルールに適応したときにログ記録をします チェックを外すとログ記録をしません このメニューで出てくる項目は全て パケットフィルター管理 メニューにてフィルタリンググループに 可視化 をチェックしたメニューのみです 簡易パケットフィルター管理 メニューで表示したい場合は該当フィルタリンググループの可視化をチェックしてください 346 HDE Controller X ユーザーマニュアル

5. パケットフィルター状態 (IPv6) パケットフィルター管理 および 簡易パケットフィルター管理 メニューで設定したフィルターの状態を表示することができます 状態は入力 出力 通過の個別に表示することができます フィルタリングルール毎に適応パケットのパケット数 バイト数を表示します フィルターの状態はフィルター内のルール別に表示することはできず 全ルールで適応した総パケット数と総バイト数になります 4-5. ファイアウォール (IPv6) 347

6. パケットフィルターの構築 簡単な構築 あまりネットワークやパケットフィルターに詳しくない方にお勧めの方法です まず パケットフィルター設定 で 基本設定 を行い その後 簡易パケットフィルター管理 で設定を行います 少し複雑な構築 積極的なフィルタリングを行いたい方にお勧めの方法です まず 簡単な構築の手順に従って設定します その後 パケットフィルター管理 で既存のフィルターのルールの変更や新規にフィルターを作成し フィルタリングルールを設定します パケットフィルター管理 のフィルターには 異常なパケットの破棄ルールが標準で用意されているのでそれを使用します 独自でルールを作成する場合は下記のことに注意して構築します 状態指定で 不当接続 を破棄する TCP/IP は異常な TCP フラグの定義をして すべて破棄する 新しくフィルターを作成する場合は 運用ポリシーを考慮して作成するといいでしょう 複数のネットワークからのフィルタリングをきめ細かく行いたい場合は 拠点をと同名のフィルターを作成し 拠点ごとにフィルタリングルールを設定します 1 台の Linux で複数サービスを提供する場合は 提供すると同名のフィルターを作成し サービスごとににフィルタリングルールをを設定します フィルターには入力フィルターに対して設定します フィルタリングルールを構築するポリシーは基本的に公開するサービスのみパケットを許可します 公開しないサービスについてはルールを作成せずにデフォルトルールでパケットを破棄します 特定のネットワークにのみ公開する場合はパケットの送信元ネットワークを制限します また Linux をゲートウェイとして利用する場合は 外部へ見せるサービスなどごとにフィルターを設定します フィルターは通過フィルターに対して設定します 348 HDE Controller X ユーザーマニュアル

サービスで必要なポートのみを公開するようにします よりセキュアな設定を行いたい場合はプライベートアドレスも信頼するインターフェースとせずに一つ一つ設定するといいでしょう 4-5. ファイアウォール (IPv6) 349

350 HDE Controller X ユーザーマニュアル

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック