設定例 ＞ Firewall ＞ 基本設定

このページの概要

• EdgeOS にて、Firewall の基本設定として、インターネットに接続する上で最低限必要だと思われる設定例をご紹介します。

  設定内容は、 前提・設定内容 をご覧下さい。

• Web UI での設定、コマンドでの設定、それぞれご紹介します。
• 各インターフェースへの適用については、設定例 ＞ Interface ＞ WAN-DHCP や 設定例 ＞ Interface ＞ WAN-PPPoE をご覧下さい。

前提・設定内容

• WAN側のポートは eth0、LAN側のポートは eth1 とします。
• WAN からのパケットは、WAN → in 方向も、WAN → local 方向も、established および related な state のパケットのみを accept し、その他は drop します。
• 具体的な設定内容は以下の通りです。
  • WAN_IN

    eth0 ポートの in 方向に設定予定

    • デフォルト動作 : drop
    • rule 10 : established, related な state のパケットのみ accept
    • rule 20 : invalid な state のパケットは drop
  • WAN_LOCAL

    eth0 ポートの local 方向に設定予定

    • デフォルト動作 : drop
    • rule 10 : established, related な state のパケットのみ accept
    • rule 20 : invalid な state のパケットは drop

解説

• ファイアウォール設定の単位として、1 つの name (名前) を持ちます。
• 各インターフェース等へ設定する際には、name を指定します。
• 1 name 毎に、1 つのデフォルト動作と、複数の rule を持ちます。
• 1 rule 毎に、rule の条件に該当したパケットに対するアクションを指定できます。
• 各インターフェースにファイアウォールを設定する際に、in / out / local の 3 種類からパケットの流れる方向を指定します。それぞれ、以下のような理解で良いかと思われます。
  • in : 該当のインターフェースに入ってくるパケット
  • out : 該当のインターフェースから出て行くパケット
  • local : ルーター内部へ届くパケット

Web UI での設定

( 未作成 )

コマンドでの設定

upnp を 利用する場合

1. Configure モードに入ります。

   USER01@EDGEOS:~$ configure
   [edit]
   USER01@EDGEOS#
   

2. upnp を on にします。プロンプトは省略しています。

   set firewall name WAN_IN default-action drop
   set firewall name WAN_IN description 'WAN to internal'
   set firewall name WAN_IN rule 10 action accept
   set firewall name WAN_IN rule 10 description 'Allow established/related'
   set firewall name WAN_IN rule 10 state established enable
   set firewall name WAN_IN rule 10 state related enable
   set firewall name WAN_IN rule 20 action drop
   set firewall name WAN_IN rule 20 description 'Drop invalid state'
   set firewall name WAN_IN rule 20 state invalid enable
   set firewall name WAN_LOCAL default-action drop
   set firewall name WAN_LOCAL description 'WAN to router'
   set firewall name WAN_LOCAL rule 10 action accept
   set firewall name WAN_LOCAL rule 10 description 'Allow established/related'
   set firewall name WAN_LOCAL rule 10 state established enable
   set firewall name WAN_LOCAL rule 10 state related enable
   set firewall name WAN_LOCAL rule 20 action drop
   set firewall name WAN_LOCAL rule 20 description 'Drop invalid state'
   set firewall name WAN_LOCAL rule 20 state invalid enable
   

3. 設定をコミットします。

   USER01@EDGEOS# commit
   

4. 再起動後にも反映されるよう、設定を保存します。

   USER01@EDGEOS# save
   Saving configuration to '/config/config.boot'...
   Done
   [edit]
   

関連項目

• コマンド ＞ configure ＞ firewall
• コマンド ＞ set (configure)
• 設定例 ＞ Interface ＞ WAN-DHCP
• 設定例 ＞ Interface ＞ WAN-PPPoE

参考サイト