最終更新: 2015年11月18日 (水) 15:55

設定例 > Firewall > 基本設定

このページの概要

前提・設定内容

  • WAN側のポートは eth0、LAN側のポートは eth1 とします。
  • WAN からのパケットは、WAN → in 方向も、WAN → local 方向も、established および related な state のパケットのみを accept し、その他は drop します。
  • 具体的な設定内容は以下の通りです。
    • WAN_IN
      eth0 ポートの in 方向に設定予定
      • デフォルト動作 : drop
      • rule 10 : established, related な state のパケットのみ accept
      • rule 20 : invalid な state のパケットは drop
    • WAN_LOCAL
      eth0 ポートの local 方向に設定予定
      • デフォルト動作 : drop
      • rule 10 : established, related な state のパケットのみ accept
      • rule 20 : invalid な state のパケットは drop


解説

  • ファイアウォール設定の単位として、policy があります。複数の policy を設定することができます。
  • policy 1 つ毎に、以下の設定が可能です。
    • 1 つの name (名前)、デフォルトアクション、ログ有無、description (説明)
    • 複数の rule
  • rule 1 つ毎に、以下の設定が可能です。
    • 1 つの rule 番号 (1-9999)、アクション、description (説明)、ログ有無、state 等条件
  • 各インターフェース等へ設定する際には、policy name を指定します。
  • 各インターフェースにファイアウォールを設定する際に、in / out / local の 3 種類からパケットの流れる方向を指定します。それぞれ、以下のような理解で良いかと思われます。
    • in : 該当のインターフェースに入ってくるパケット
    • out : 該当のインターフェースから出て行くパケット
    • local : ルーター内部へ届くパケット


Web UI での設定

( 未作成 )


コマンドでの設定

  1. Configure モードに入ります。
    USER01@EDGEOS:~$ configure
    [edit]
    USER01@EDGEOS#
    
  2. WAN_IN、WAN_LOCAL を作成していきます。プロンプトは省略しています。
    set firewall name WAN_IN default-action drop
    set firewall name WAN_IN description 'WAN to internal'
    set firewall name WAN_IN rule 10 action accept
    set firewall name WAN_IN rule 10 description 'Allow established/related'
    set firewall name WAN_IN rule 10 state established enable
    set firewall name WAN_IN rule 10 state related enable
    set firewall name WAN_IN rule 20 action drop
    set firewall name WAN_IN rule 20 description 'Drop invalid state'
    set firewall name WAN_IN rule 20 state invalid enable
    set firewall name WAN_LOCAL default-action drop
    set firewall name WAN_LOCAL description 'WAN to router'
    set firewall name WAN_LOCAL rule 10 action accept
    set firewall name WAN_LOCAL rule 10 description 'Allow established/related'
    set firewall name WAN_LOCAL rule 10 state established enable
    set firewall name WAN_LOCAL rule 10 state related enable
    set firewall name WAN_LOCAL rule 20 action drop
    set firewall name WAN_LOCAL rule 20 description 'Drop invalid state'
    set firewall name WAN_LOCAL rule 20 state invalid enable
    
  3. 設定をコミットします。
    USER01@EDGEOS# commit
    
  4. 再起動後にも反映されるよう、設定を保存します。
    USER01@EDGEOS# save
    Saving configuration to '/config/config.boot'...
    Done
    [edit]
    


関連項目


参考サイト