IPMATE 1500RD:設定例

販売終了

2002年10月 販売を終了させていただきました。

31. IPパケット・フィルタリングを使う

本商品ではIPパケットフィルタリングを利用することができます。これを使うことによって、インターネットプロバイダと接続したり、オフィスと接続している際、アタックなどの不正なアクセスや、不要な発信を防ぐことができます。また、特定のサービスだけを公開(利用)することもできます。

IPパケット・フィルタリングは、フィルタリングの対象とするIPパケットをWEB設定画面より定義して行います。IPパケットとは、TCPパケット、UDPパケット、ICMPパケットなどがあります。この機能を利用するには、これらのパケットや、それらを利用したサービスに関する知識が必要になります。
また、IPパケット・フィルタリングをご利用いただく場合にも、IPパケット・フィルタリングですべてのアタック(不正なアクセス)やすべての無用な発信を防ぐことはできません。

本商品では、IPパケット・フィルタリングのプリセット(Profile1とProfile1)をご用意しています。これを利用することで、代表的なアタック、不要な発信を防ぐことができます。


設定のポイント

設定可能なフィルタの数

  • 接続先ごとにフィルタを32個設定できます。

IPパケット・フィルタリングで定義可能な内容

  • 外部からのアタックをふせぐために「Profile1」を用意しています。
  • 無用な発信をふせぐために「Profile2」を用意しています。
  • Prifle1およびProfile2以外に、フィルタ条件を設定することができます。
外部からのアタックをふせぐためのフィルタ:Profile1の内容
(回線側INに適用)
順序 動作 送信アドレス 宛先アドレス プロトコル 送信ポート 宛先ポート
1 遮断 LAN側ネットワーク
アドレス		 * * * *
2 遮断 * LAN側ブロードキャストアドレス * * *
3 透過 * * TCP * Domain(53)
4 透過 * * TCP * Ident(113)
5 透過 * * TCP FTPdata(20) *
6 遮断 * * TCPEST * *
  • 順序1:LAN側ネットワークアドレスを送信アドレスとするパケットによるアタックを防ぐ。
  • 順序2:LAN側ブロードキャストアドレスを宛先とするパケットによるアタックを防ぐ。
  • 順序3:DNSを透過させる。(UDPはデフォルト透過)
  • 順序4:SMTP(メール)でよく使われているIDENT(認証プロトコル)を透過させることで、メール転送の遅延を防ぐ。
  • 順序5:LAN側からのFTPを使用可能にするためftpdataを透過させる。
  • 順序6:回線側からのTCPコネクションの確立を許可しない。
無用な発信をふせぐためのフィルタ:Profile2の内容
(回線側OUTに適用)
順序 動作 送信アドレス 宛先アドレス プロトコル 送信ポート 宛先ポート
1 接続中のみ
透過		 * * TCPFIN+
TCPRST		 * *
2 遮断 * * TCP+
UDP		 137-
139		 *
3 遮断 * * TCP+
UDP		 * 137-
139
  • 順序1:TCPの終了を表すTCPFIN及びTCPRSTパケットで発呼する必要がないため、接続中のみ透過とする。
  • 順序2、3:NetBIOSのパケット送受信を制限する。

定義できるフィルタ条件

次の内容を組み合わせて定義することができます。

送信元IPアドレス 送信元IPアドレスの始点/終点の指定(範囲指定)
送信元IPアドレスのネットワークアドレスとマスク値
宛先IPアドレス 宛先IPアドレスの始点/終点の指定(範囲指定)
宛先IPアドレスのネットワークアドレスとマスク値
送信元ポート番号 送信元ポート番号の始点/終点の指定(範囲指定)
送信元ポート番号の番号指定
特定プロトコルの選択
(E-mail/FTP/TELNET/WWW/DNS/NEWS/NetBIOS/すべて)
*TCPとUDPのみ指定できます。
宛先ポート番号 宛先ポート番号の始点/終点の指定(範囲指定)
宛先ポート番号の番号指定
特定プロトコルの選択
(E-mail/FTP/TELNET/WWW/DNS/NEWS/NetBIOS/すべて
プロトコル 番号指定または全て
TCP、UDP、ICMPなどのプロトコルの選択
ICMP/UDP/TCP/TCP+UDP/TCPEST/TCPFIN+TCPRST
フィルタ動作 透過/接続中のみ透過/遮断
*それぞれについて、ログを残すことができます。
*専用線をご利用の場合は、「透過」と「遮断」のみ指定できます。

IPパケット・フィルタリングの設定例

一般的なフィルタ定義の操作方法について、説明します。定義したいフィルタ内容によって、設定内容が変わります。代表的なIPパケット・フィルタの設定例を設定例32以降に掲載しています。

  1. 設定用のパソコンを1台決め、パソコンを本商品に接続します。
    WWWブラウザを起動したのち、本商品にログインします。
  2. 接続先の設定を行います。
    「Quick設定」メニュー内の各画面の「接続先の設定」、または[ルータ機能/回線接続先情報]画面で設定をしてください。
  3. フィルタリングをしたいIPパケットのフィルタ定義を行います。
    既に用意されているプロファイル(Profile1またはProfile2)を利用する場合には、ここでの定義(設定)は必要ありません。
    • 1) 「ルータ機能」メニューより「フィルタ情報」を選択します。
    • 2) 「IPフィルタ」画面を選択します。
    • 3) 「IPフィルタ」画面で[設定]ボタンを押します。
  4. 接続先に対して、IPパケット・フィルタの設定を行います。
    初期状態では、すでに回線側の接続先にはすべて「Profile1」と「Profile2」を使ってフィルタリングを行う設定になっています。

    1つの接続先に合計32個のフィルタ定義を設定できます。Profile1とProfile2で合計32個のフィルタ定義に相当するので、この2つを使用する場合に、これ以上のフィルタ定義を行うことはできません。Profile1またはProfil2の欄で[変更]ボタンを押し、エントリの定義をしなおしてください。
    • 1) 「ルータ機能」メニューより「フィルタ情報」を選択します。
    • 2) 「IPフィルタ接続先指定」画面を選択します。
    • 3) 接続先の番号を選択します。「LAN」または回線接続先番号No1~No16(専用線の場合は「回線」のみ)より選択します。
    • 4) 画面に選択した接続先の現在のフィルタ定義設定内容が表示されます。
      フィルタ定義を設定する場所(評価順序)は指定できるので、[追加]ボタン左横の「「先頭」に」プルダウンメニューより、追加先を指定した後、[追加]ボタンを押します。
      フィルタ定義選択のホップアップ画面が表示されます。

      すでに登録済みの定義を変更する場合には、[変更]ボタンを押します。
      フィルタ定義選択のホップアップ画面が表示されます。

      登録済みの定義を削除する場合には、エントリのチェックボックスにチェックをいれて削除ボタンを押します。
    • 5) ホップアップ画面で設定するフィルタ定義を選択します。
    • Profile1を使用する場合⇒「Profile1(外部からのアタックをふせぐ)」を選択
    • Profile2を使用する場合⇒「Profile2(無用な発信をふせぐ)」を選択
    • 「IPフィルタ」画面で定義したフィルタを選択指定する
    • 5)-1 「フィルタ番号・フィルタ名」の項目より、使用するフィルタ定義を選択します。
    • 5)-2 「方向(IN/OUT/IN/OUT)」を指定します。
      接続先が「回線接続先(回線ポート)」か「LAN(LANポート)」かによって「IN」「OUT」の意味が異なります。
    IN: LANポートからみて「LAN側からの受信」、回線ポートからみて「回線側からの着信」を意味します。
    OUT: LANポートからみて「LAN側への送信」、回線ポートからみて「回線側へ発信」を意味します。
    IN/OUT: LANポート、回線ポートとも、「受信(着信)」「送信(発信)」の両方を意味します。

    <ISDNの場合>

    <専用線の場合>

    • 6) ホップアップ画面で[設定]ボタンを押します。
      これで、IPMATEの動作に反映され、IPパケット・フィルタリングが動作します。
    • 7) 引き続いて、フィルタ定義の設定を行う場合には、4)~6)を繰り返します。
      設定できるフィルタ定義は32個までです。
    • 8) 接続先をかえて、設定を行う場合には、3)~6)を繰り返します。

IPパケット・フィルタリングの設定事例

次の事例をご紹介します。それぞれ、WEB画面での設定例を説明しています。
これ以外のIPパケット・フィルタリングを行いたい場合には、オンラインマニュアルにて機能説明または画面説明をご覧ください。