ファイアウォールの機能一覧を示します。
1 つ以上のIPアドレス、もしくはネットワークアドレスをグループ化します。
送信元アドレスオブジェクト、もしくは送信先アドレスオブジェクトとして、ポリシーの設定で利用します。
1 つのアドレスオブジェクトには IPv4 / IPv6 を混在して設定することが可能です。
アドレスオブジェクトには以下の設定項目があります。
項目 | 仕様 |
---|---|
アドレス |
アドレスオブジェクトに設定するアドレスです。
|
名前 |
アドレスオブジェクトの名前です。 お客様が識別しやすい名前を自由につけることができます。
|
ファイアウォールの通信の内容を定義・管理します。
サービスオブジェクトには以下の設定項目があります。
項目 | 仕様 |
---|---|
名前 |
サービスオブジェクトの名前です。 お客様が識別しやすい名前を自由につけることができます。
|
プロトコル |
通信のプロトコルを以下から 1 つ選択します。
|
宛先ポート番号 |
通信の宛先のポート番号です。 1 つ以上のポート、もしくはポート範囲を指定します。
1 - 65535 の範囲の数値が設定できます。 設定できる項目は 5 項目までです。
※プロトコルが ICMP の場合は指定できません。 |
アドレスオブジェクトおよびサービスオブジェクトなどの情報を組み合わせて、ファイアウォールを通過する通信のポリシーを設定します。
ファイアウォールはポリシー内容に則って、通信を評価し、フィルタを実行します。
ポリシーには以下の設定項目があります。
項目 | 仕様 |
---|---|
名前 |
ポリシーの名前です。 お客様が識別しやすい名前を自由につけることができます。
|
有効・無効 |
ポリシーを有効にするか無効にするかを選択します。 有効にしたポリシーのみが実際の設定としてファイアウォールに反映されます。 |
アクション |
条件(送信元、送信先、サービス)に合致した場合のファイアウォールの動作です。 以下から 1 つ選択します。
注 意
|
送信元 |
通信の送信元アドレス情報です。 作成したアドレスオブジェクトから 1 つ選択します。 |
送信先 |
通信の送信先アドレス情報です。 作成したアドレスオブジェクトから 1 つ選択します。 |
サービス |
通信内容です。 作成したサービスオブジェクトから 1 つ選択します。 |
ファイアウォールにスタティックルートを設定します。
スタティックルートには以下の設定項目があります。
項目 | 仕様 |
---|---|
宛先ネットワーク |
スタティックルートの宛先となるネットワークを指定します。 |
送信元 |
スタティックルートのゲートウェイアドレスを指定します。
|
Syslog のリモート転送でログ提供します。
Syslog のリモート転送には以下の設定項目があります。
項目 | 仕様 |
---|---|
プロトコル |
転送に利用するプロトコルを以下から選択します。
|
アドレス |
転送先の Syslog サーバのアドレスを 1つ指定します。 複数指定することはできません。 |
ポート番号 |
転送先の Syslog サーバのポート番号を指定します。 1 - 65535 の範囲の数値が設定できます。 |
以下のサンプルはログ転送後の syslogサーバ上のログのイメージです。先頭のタイムスタンプやホスト名 (ifwXXXXXXXX-master)、タグ (irelayd) は転送先のログサーバが付加しています。
ログは TCP, UDP, ICMP のセッションごとに出力されます。(id が個々のセッションを識別する ID です)
Oct 26 22:00:01 ifwXXXXXXXX-master irelayd Oct 26 22:00:00 2020 INFO l3logd[71031]: id=0 action=start proto=tcp 192.0.2.100:48940->198.51.100.200:80 time=1603717200
Oct 26 22:00:01 ifwXXXXXXXX-master irelayd Oct 26 22:00:00 2020 INFO l3logd[71031]: id=0 action=rulematch auth="1_HTTP_In_Office" host="Web" service="HTTP" user="Office"
Oct 26 22:00:01 ifwXXXXXXXX-master irelayd Oct 26 22:00:00 2020 INFO l3logd[71031]: id=0 action=dstnat proto=tcp 192.0.2.100:48940->198.51.100.200:80 to 192.0.2.100:48940->10.203.0.1:80
Oct 26 22:02:04 ifwXXXXXXXX-master irelayd Oct 26 22:02:04 2020 INFO l3logd[71031]: id=0 action=close proto=tcp 192.0.2.100:48940->198.51.100.200:80 ipackets=6 ibytes=430 opackets=4 obytes=526 duration=4 start=1603717200 finish=1603717204
Nov 2 20:50:51 ifwXXXXXXXX-master irelayd Nov 2 20:50:50 2020 INFO l3logd[66144]: id=1 action=start proto=udp 10.203.0.2:37532->192.0.2.153:53 time=1604317850
Nov 2 20:50:51 ifwXXXXXXXX-master irelayd Nov 2 20:50:50 2020 INFO l3logd[66144]: id=1 action=rulematch auth="2_DNS_UDP_Out" host="Any" service="DNS_UDP" user="Lan"
Nov 2 20:50:51 ifwXXXXXXXX-master irelayd Nov 2 20:50:50 2020 INFO l3logd[66144]: id=1 action=srcnat proto=udp 10.203.0.2:37532->192.0.2.153:53 to 198.51.100.200:52409->192.0.2.153:53
Nov 2 20:51:52 ifwXXXXXXXX-master irelayd Nov 2 20:51:52 2020 INFO l3logd[66144]: id=1 action=close proto=udp 10.203.0.2:37532->192.0.2.153:53 ipackets=1 ibytes=59 opackets=1 obytes=146 duration=0 start=1604317850 finish=1604317850
Nov 2 21:17:27 ifwXXXXXXXX-master irelayd Nov 2 21:17:27 2020 INFO l3logd[66144]: id=2 action=start proto=icmp 10.203.0.3:29253->192.168.0.10:8 type=8 code=0 time=1604319447
Nov 2 21:17:27 ifwXXXXXXXX-master irelayd Nov 2 21:17:27 2020 INFO l3logd[66144]: id=2 action=rulematch auth="3_ICMP_Lan" host="Lan" service="ICMP" user="Lan
Nov 2 21:18:15 ifwXXXXXXXX-master irelayd Nov 2 21:18:15 2020 INFO l3logd[66144]: id=2 action=close proto=icmp 10.203.0.3:29253->192.168.0.10:8 ipackets=5 ibytes=420 opackets=0 obytes=0 duration=4 start=1604319447 finish=1604319451
"action" の意味については以下で解説します。
action | 意味 | 補足 |
---|---|---|
start | セッションの開始 |
|
rulematch | FW ルールへのマッチ |
|
dstnat | NAT |
|
srcnat | NAPT |
|
close
|
セッションの終了 |
注 意
IPv6 から IPv4 に NAT した場合 action=close の統計情報で opackets, obytes が 0 になります。 |
ログは FTP の中継ごとに出力されます。(relayid が個々の中継を識別する ID です)
Sep 18 18:18:47 ifwXXXXXXXX-master irelayd Sep 18 18:18:47 2024 NOTICE listen[603821]: relayid=12 action=accept family=inet4 proto=tcp type=stream src=192.168.2.6:49962 dst=192.168.1.5:21
Sep 18 18:18:47 ifwXXXXXXXX-master irelayd Sep 18 18:18:47 2024 NOTICE relay0[620681]: relayid=12 action=start
Sep 18 18:18:47 ifwXXXXXXXX-master irelayd Sep 18 18:18:47 2024 NOTICE relay0[620681]: relayid=12 action=rulematch auth="6_ALLOW_FTP_FROM_LAN" host="Any" service="FTP" user="Lan"
Sep 18 18:18:47 ifwXXXXXXXX-master irelayd Sep 18 18:18:47 2024 INFO relay0[620681]: relayid=12 action=ruleresolve service="FTP" allow=true need_cauth=false
Sep 18 18:18:47 ifwXXXXXXXX-master irelayd Sep 18 18:18:47 2024 NOTICE relay0[620681]: relayid=12 action=authok mode=ftp family=inet4 src=192.168.2.6:49962 dst=192.168.1.5:21
Sep 18 18:18:47 ifwXXXXXXXX-master irelayd Sep 18 18:18:47 2024 INFO relay0[620681]: relayid=12 action=connect src=192.168.2.6:49962 dst=192.168.1.5:21
Sep 18 18:18:50 ifwXXXXXXXX-master irelayd Sep 18 18:18:50 2024 INFO relay0[620681]: relayid=12 action=ftplogin mode=ftp username="anonymous"
Sep 18 18:18:58 ifwXXXXXXXX-master irelayd Sep 18 18:18:57 2024 INFO relay0[620681]: relayid=12 action=close cibytes=98 cobytes=706 sibytes=691 sobytes=98 duration=10.805 reason=byserver
"action" の意味については以下で解説します。
action | 意味 | 補足 |
---|---|---|
accept | 接続の受け付け | |
start | 中継の開始 |
|
rulematch | FW ルールへのマッチ |
|
ruleresolve | FW ルールの決定 |
|
authok | FW ルールによって中継が許可された | |
authng | FW ルールによって中継が拒否された | |
connect | 中継先への接続 | |
ftplogin | FTPのログイン認証に成功 | |
ftploginfail | FTPのログイン認証に失敗 | |
close
|
中継の終了 |
注 意
IPv6 から IPv4 に NAT した場合 action=close の統計情報で opackets, obytes が 0 になります。 |