サポート

ホームサポート技術情報OpenBlockS簡易ファイアウォール環境の設定

簡易ファイアウォール環境の設定

Web設定画面Version 1.02i以降より、イーサネットポートのアドレスの設定に、

  1. 固定アドレスの割り当て(専用線接続等の場合)
  2. DHCPによるアドレス取得(CATVインターネット等の場合)

の2つの方法が可能になりました。
以下の解説はWeb設定画面Version 1.09i(ファームウェアバージョン1.09i)に沿って進めますので必要なユーザーはファームウェアのアップデートを行って下さい。
Web設定画面Version 1.0を使用する場合はこちらをご覧下さい。

簡易ファイアウォールとしてIPマスカレードの機能を使用する場合、それぞれの場合によって、設定方法が異なります。

ここでは、ネットワーク上流へのアクセスに対し、

  1. 固定のアドレスを割り当てられた場合
  2. DHCPによって取得した場合

それぞれの場合についての説明を行います。

OpenBlockSではIPマスカレード・パケットフィルタリングに「ipchains」コマンドを使用しています。ipchainsコマンドについての詳細はIPCHAINS-HOWTO(日本語)をご覧下さい。

なおWeb設定画面はOpenBlockSのイーサネット1(100M/10Mポート)側からのみアクセス可能です。イーサネット2(10Mポート)側からは利用できませんのでご注意下さい。


注意(5Dec2000)
ファームウェアバージョン1.08iよりWeb設定画面を使ったipchainsコマンドの入力は「アドレス変換」メニューのンコマンド入力から「パケットフィルタ」メニューのコマンド入力に変更になりました。
バージョン1.08i以前のファームウェアを利用される場合は以下の解説のうちipchainsコマンドを入力する項目は「パケットフィルタ」メニューへの移動指定を「アドレス変換」メニューへの移動指定に読み替えて下さい。
ipchainsコマンドの使用方法そのものに変更はありません。なお「アドレス変換」メニューはipmasqadmコマンドの入力用に変更になりました。

設定手順

固定アドレスの割り当て(専用線接続等の場合)

  1. 設定するアドレスを決める
    1. グローバルアドレス
    2. ローカルアドレス
  2. OpenBlockSの設定準備
  3. Web設定画面での設定手順
    1. ネットワーク設定
      1. イーサネット1(100M/10Mポート)(eth0)の設定
      2. イーサネット2(10Mポート)(eth1)の設定
      3. ネットワークの設定
    2. IPマスカレード機能(ipchains)によるパケットフィルタ設定
    3. DHCPサーバ機能の設定
  4. 設定の保存と再起動

DHCPによるアドレス取得(CATVインターネット等の場合)

  1. 設定するアドレスを決める
    1. グローバルアドレス
    2. ローカルアドレス
  2. OpenBlockSの設定準備
  3. Web設定画面での設定手順
    1. ネットワーク設定
      1. イーサネット1(100M/10Mポート)(eth0)の設定
      2. イーサネット2(10Mポート)(eth1)の設定
      3. ネットワークの設定
    2. IPマスカレード機能(ipchains)によるパケットフィルタ設定
    3. DHCPサーバ機能の設定
  4. 設定の保存と再起動

固定アドレスの割り当て(専用線接続等の場合)

  1. 設定するアドレスを決める
    1. グローバルアドレス
      グローバルアドレスはOCNその他のプロバイダにより契約時に渡されるネットワークアドレスであり、このアドレスは自由に決定することは出来ません。
      契約時渡されたアドレスブロック(通常は8のネットワークアドレス)より本サーバに割り当てるアドレスを選択する必要があります。このアドレスはプロバイダにより異なります。

      この項で説明に使用するネットワークアドレスは

      210.142.12.3、ネットマスク: 255.255.255.248
      を割り当てられたアドレスの中から選択する事にします。
      このアドレス(グローバルアドレス)は説明のための例として使用するものですのでお手元のOpenBlockSやその他のサーバ等では絶対に使用しないで下さい

      ネットマスクに関しては、こちらを参照して下さい。

    2. ローカルアドレス
      ローカルアドレスは、ユーザが自由に設定できるネットワークアドレスですが、使用出来る範囲が定められています(下表参照)。また、このアドレスはグローバルアドレス側では使用出来ませんので注意して下さい。

      クラス アドレス
      A 10.0.0.0〜10.255.255.255
      B 172.16.0.0〜172.31.255.255
      C 192.168.0.0〜192.168.255.255

      ここでは、工場出荷時設定で使用されている

      192.168.253.254

      をOpenBlockSに割り当てたと仮定します。

  2. OpenBlockSの設定準備
    IPアドレスの設定
    OpenBlocSを設定するには、OpenBlockSに接続されたPC等によりWebブラウザを使用して設定します。NetscapeやInternetExproler等が使用できます。なおWeb設定画面はOpenBlockSのイーサネット1(100M/10Mポート)側からのみアクセス可能です。イーサネット2(10Mポート)側からは利用できませんのでご注意下さい。

    出荷時(またはINTスイッチを押しながら立ち上げて出荷時設定に戻した場合)イーサネットポート1(100M/10M)(eth0)は192.168.253.10〜192.168.253.132のアドレスブロックよりDHCPサーバでアドレスが割り当てられる設定になっています。
    そのため、設定用のPCのIPアドレスは、DHCPでの自動設定にしておくのが簡単です。

    設定用PCのIPアドレスをDHCPによる自動設定にしない場合、上記の割り当て範囲以外、つまり192.168.253.250等に設定してもかまいません。

    グローバル側とローカル側の2つのネットワークに対し、OpenBlockSの2つのイーサネットポートは以下の様に割り当てて下さい。

    ローカル側 イーサネット1(100M/10Mポート)(eth0)
    グローバル側 イーサネット2(10Mポート)(eth1)

    eth0、eth1とは、それぞれのポートのシステム上での呼び名です。

  3. Web設定画面での設定手順
    1. ネットワーク設定
      Web設定画面を開き左のメニュー項目より「ネットワーク設定」をクリックしてください。「ネットワーク設定」メニューの下に、

      • イーサネット1の設定
      • イーサネット2の設定
      • ネットワークの設定

      の3つのメニューが表示されます。

      1. イーサネット1(100M/10Mポート)(eth0)の設定
        「イーサネット1の設定」をクリックすると「イーサネット1の設定」画面になります。

        イーサネット1の設定画面

        各項目は工場出荷時の設定のままでかまいません。工場出荷時設定の場合は以下のように表示されるはずです。

        設定項目 設定例
        IPADDR 192.168.253.254
        NETMASK 255.255.255.0
        ONBOOT yes
        BOOTPPROTO  
        NETWORK 192.168.253.0
        BROADCAST 192.168.253.255

        入力に誤りがないことを確認したら 設定 ボタンをクリックして下さい。

      2. イーサネット2(10Mポート)(eth1)の設定
        「イーサネット2の設定」をクリックすると「イーサネット2の設定」画面になります。

        イーサネット2の設定画面

        グローバルアドレスやネットマスクなど必要な項目を正しく入力して下さい。

        設定項目 設定例 説明
        IPADDR 210.142.12.3 OpenBlockSに割り当てた、グローバル側のIPアドレスを入力します。
        NETMASK 255.255.255.248 プロバイダなどから提供されるネットマスクを入力します。
        ONBOOT yes 通常は「yes」のまま使用して下さい。
        BOOTPPROTO   DHCPによる自動割り当て機能を使用しないので空欄のままにします。
        NETWORK 210.142.12.0 プロバイダなどから提供されるネットワークアドレスの値を入力します。
        BROADCAST 210.142.12.7 プロバイダなどから提供されるブロードキャストの値を入力します。

        入力に誤りがないことを確認したら 設定 ボタンをクリックして下さい。

      3. ネットワークの設定
        「ネットワークの設定」をクリックすると「ネットワークの設定」画面になります。

        ネットワークの設定画面

        ホスト名、ドメイン名などを入力して下さい。

        設定項目 設定例 説明
        FORWARD_IPV4 yes  
        HOSTNAME gonta1.plathome.co.jp 本サーバ(OpenBlockS)のホスト名を入力します。プロバイダに接続された場合はその申請手続きに基づく値を入力して下さい。
        DOMAINNAME plathome.co.jp 本サーバのドメイン名を入力します。プロバイダに接続された場合はその申請手続きに基づく値を入力して下さい。
        GATEWAY 210.142.12.1 グローバルネットワーク側のゲートウェイのアドレスであり、通常はインターネット網に接続するルータ装置のアドレスを入力します。
        GATEWAYDEV eth1 グローバル側に割り当てたイーサネット2(eth1)を指定します。eth1を入力してください。

        簡易ファイアウォールとしてだけ使用する際は、工場出荷時設定のままでかまいません。

        入力に誤りがないことを確認したら 設定 ボタンをクリックして下さい。

    2. IPマスカレード機能(ipchains)によるパケットフィルタ設定
      ipchainsコマンドの入力はファームウェアバージョン1.08i以降「アドレス変換」メニューから「パケットフィルタ」メニューに変更しています。
      バージョン1.08i以降「アドレス変換」メニューはipmasqadmコマンド入力用になっておりますので、バージョン1.05i以前のファームウェアをご利用のユーザーはご注意下さい。

      今回の設定例では、イーサネット1(eth0)(ローカルアドレス)側は192.168.253.0/24のネットワークを持ち、イーサネット2(eth1)(グローバルアドレス)側は210.142.12.0/29のネットワークを持っていることになります。
      (上記のアドレス表記については、こちらを参照して下さい)

      この場合のIPマスカレードの設定は、次の3行となります。

      (1) ipchains -A forward -s 192.168.253.0/24 -d 192.168.253.0/24 -j ACCEPT
(2) ipchains -A forward -s 210.142.12.0/29 -d 0.0.0.0/0 -j ACCEPT
(3) ipchains -A forward -s 192.168.253.0/24 -d 0.0.0.0/0 -j MASQ

      これらの設定をWeb設定画面で行うには、画面左のメニューから、「パケットフィルタ」をクリックし、「コマンド入力」をさらにクリックすると「コマンドによる設定」画面になります。

      コマンドによる設定画面

      画面中のコマンドの入力フィールドにipchains以下の引数を入力します。ipchainsは入力する必要はありません。

      -A forward -s 192.168.253.0/24 -d 192.168.253.0/24 -j ACCEPT

      コマンド入力(1)

      入力した設定を反映させるために「起動時の設定に追加する」項の「Yes」を選択します。

      入力に誤りがないことを確認したら 設定 ボタンをクリックします。

      入力したコマンドおよび起動時に設定するコマンドが表示されます。

      入力されたコマンド

      以下同様に順番に残りの設定の引数を追加します。

      コマンド入力(2)

      コマンド入力(3)


    3. DHCPサーバ機能の設定
      工場出荷時にイーサネット1側は今回の設定例の通りの設定ですでにDHCPサーバ機能が動作していますが、設定を変更したり、再設定する場合は、以下の手順でDHCPサーバ機能の設定を行って下さい。

      Web設定画面の左のメニュー項目より、「サーバ機能」をクリックしてください。「サーバ機能」メニューの下に表示される「DHCPサーバの設定」をクリックすると右の画面に

      • DHCPサーバの設定と起動
      • DHCPサーバの停止

      の2つのメニューが表示されますので「DHCPサーバの設定と起動」をクリックして下さい。

      DHCPサーバの詳細設定以下は工場出荷時には以下の様な設定になっています。

      DHCPサーバの設定

      設定項目 工場出荷時設定
      default-lease-time 600
      max-lease-time 7200

      option項目
      設定項目 工場出荷時設定
      option subnet-mask 255.255.255.0
      option broadcast-address 192.168.253.255
      option routers 192.168.253.254
      option domain-name-servers 192.168.253.254
      option domain-name LinuxServer

      option項目
      設定項目 工場出荷時設定 設定項目 工場出荷時設定
      subnet 192.168.253.0 netmask 255.255.255.0
      range 192.168.253.10 192.168.253.132

      これらはDHCPサーバの基本機能と、DHCPのクライアントPCに対して渡すデータの設定項目です。

      例えば、本サーバのイーサネット1(eth0)のアドレスを変更する場合、クライアントからアドレス変換を行うOpenBlockSのアドレスが変わるため、DHCPサーバで受け渡すrouters項目のアドレスも変更しなければなりません。
      当然ですが、ネットマスクが変更されれば、それに合わせてoption subnet-maskも変更する必要があります。

      option domain-name-serversはクライアントに渡すDNSのIPアドレスを、option domain-nameにドメイン名を入力します。
      ここで指定したドメイン名は、クライアント側でドメイン名を省略して指定した場合に自動に付加されるドメイン名となります。

      例えば、ここに、plathome.co.jpを指定すると、クライアントのWebブラウザ等でhttp://wwwと入力すれば、http://www.plathome.co.jpと変換されます。

      option domain-name-servers 210.142.12.3
      option domain-name plathome.co.jp

      入力に誤りがないことを確認したら DHCPサーバの設定と起動 ボタンをクリックして下さい。


  4. 設定の保存と再起動
    全ての設定は、本体の保存用のフラッシュメモリに格納しておく必要があります。

    Web設定画面を使用して格納を行うためには、左のメニューより「保存・再起動・停止」をクリックして、保存、再起動、停止画面より「設定保存 -> 再起動する」または「設定保存 -> 停止する」を選択し、 設定 ボタンを押す必要があります。

    再起動、停止画面


DHCPによるアドレス取得

フレッツADSLやCATVインターネット等の場合

注意
CATVインターネットなど商用サービスでは、ユーザーによるルータ、アドレス変換装置(NATボックス等)、サーバの設置を認めていない場合があります。 サービス内容・約款については接続業者にご確認の上ご利用下さいますようお願いいたします。
その他のネットワークに接続する場合も接続業者やネットワーク管理者に設定情報や利用制限をご確認の上ご利用下さいますようお願いします。

  1. 設定するアドレスを決める
    1. グローバルアドレス

      上流のアドレスがDHCPにより割り当てられる場合、DHCPでの設定を選択する事により、

      • OpenBlockSに割り当てるIPアドレスおよびネットマスク
      • デフォルトルータのアドレス
      • OpenBlockSの使用するDNSの情報(resolv.conf)

      が自動的に設定されます。
      なお社内LANに接続したり接続業者のサービス内容によってはグローバルアドレスではなくプライベートアドレスが割り当てられる場合があります。

    2. ローカルアドレス
      ローカルアドレスは、ユーザが自由に設定できるネットワークアドレスですが、使用出来る範囲が定められています(下表参照)。
      また、このアドレスはグローバルアドレス側では使用出来ませんので注意して下さい。

      クラス アドレス
      A 10.0.0.0〜10.255.255.255
      B 172.16.0.0〜172.31.255.255
      C 192.168.0.0〜192.168.255.255

      ここでは、工場出荷時設定で使用されている

      192.168.253.254 ネットマスク: 255.255.255.0

      をOpenBlockSに割り当てたと仮定します。

  2. OpenBlockSの設定準備
    IPアドレスの設定
    OpenBlocSを設定するには、OpenBlockSに接続されたPC等によりWebブラウザを使用して設定します。
    なおWeb設定画面はOpenBlockSのイーサネット1(100M/10Mポート)側からのみアクセス可能です。イーサネット2(10Mポート)側からは利用できませんのでご注意下さい。NetscapeやInternetExproler等が使用できます。

    出荷時(またはINTスイッチを押しながら立ち上げて出荷時設定に戻した場合)イーサネットポート1(100M/10M)(eth0)は192.168.253.10〜192.168.253.132のアドレスブロックよりDHCPサーバでアドレスが割り当てられる設定になっています。
    そのため、設定用のPCのIPアドレスは、DHCPでの自動設定にしておくのが簡単です。

    DHCPによる自動設定にしない場合、上記の割り当て範囲以外、つまり192.168.253.250等に設定してもかまいません。

    グローバル側とローカル側の2つのネットワークに対し、OpenBlockSの2つのイーサネットポートは以下の様に割り当てて下さい。

    ローカル側 イーサネット1(100M/10Mポート)(eth0)
    グローバル側 イーサネット2(10Mポート)(eth1)

    eth0、eth1とは、それぞれのポートのシステム上での呼び名です。

  3. Web設定画面での設定手順
    1. ネットワーク設定
      Web設定画面を開き左のメニュー項目より「ネットワーク設定」をクリックしてください。「ネットワーク設定」メニューの下に、
      • イーサネット1の設定
      • イーサネット2の設定
      • ネットワークの設定

      の3つのメニューが表示されます。

      1. イーサネット1(100M/10Mポート)(eth0)の設定
        「イーサネット1の設定」をクリックすると「イーサネット1の設定」画面になります。

        イーサネット1の設定画面

        各項目は工場出荷時の設定のままでかまいません。工場出荷時設定の場合は以下のように表示されるはずです。

        設定項目 設定例
        IPADDR 192.168.253.254
        NETMASK 255.255.255.0
        ONBOOT yes
        BOOTPPROTO  
        NETWORK 192.168.253.0
        BROADCAST 192.168.253.255

        入力に誤りがないことを確認したら 設定 ボタンをクリックして下さい。

      2. イーサネット2(10Mポート)(eth1)の設定
        「イーサネット2の設定」をクリックすると「イーサネット2の設定」画面になります。

        イーサネット2の設定画面

        「ONBOOT」欄に「yes」、「BOOTPPROTO」欄に「dhcp」と入力する以外は全て「空欄」にして下さい。

        設定項目 設定例 説明
        IPADDR   DHCPにより自動的に設定されますので「空欄」にしておい下さい。
        NETMASK  
        ONBOOT yes 通常は「yes」のまま使用して下さい。
        BOOTPPROTO dhcp DHCPによる自動割り当て機能を使用します。小文字で入力して下さい。
        NETWORK   DHCPにより自動的に設定されますので「空欄」にしておい下さい。
        BROADCAST  

        入力に誤りがないことを確認したら設定ボタンをクリックして下さい。

      3. ネットワークの設定
        「ネットワークの設定」をクリックすると「ネットワークの設定」画面になります。

        ネットワークの設定画面

        ホスト名、ドメイン名などを入力して下さい。

        設定項目 設定例 説明
        FORWARD_IPV4 yes  
        HOSTNAME gonta1.plathome.co.jp 本サーバのホスト名を入力します。プロバイダに接続された場合はその申請手続きに基づく値を入力して下さい。簡易ファイアウォールとしてだけ使用する際は、工場出荷時設定のままでかまいません。
        DOMAINNAME plathome.co.jp 本サーバのドメイン名を入力します。プロバイダに接続された場合はその申請手続きに基づく値を入力して下さい。簡易ファイアウォールとしてだけ使用する際は、工場出荷時設定のままでかまいません。
        GATEWAY   DHCPにより自動的に設定されますので「空欄」にしておい下さい。
        GATEWAYDEV  

        入力に誤りがないことを確認したら 設定 ボタンをクリックして下さい。

    2. IPマスカレード機能(ipchains)によるパケットフィルタ設定
      ipchainsコマンドの入力はファームウェアバージョン1.08i以降「アドレス変換」メニューから「パケットフィルタ」メニューに変更しています。
      バージョン1.08i以降「アドレス変換」メニューはipmasqadmコマンド入力用になっておりますので、バージョン1.05i以前のファームウェアをご利用のユーザーはご注意下さい。

      今回の設定例では、
      イーサネット1(eth0)(ローカルアドレス)側は192.168.253.0/24のネットワークを持ち、
      イーサネット2(eth1)(グローバルアドレス)側はDHCPにより設定されたネットワークを持つことになります。
      (上記のアドレス表記についてはこちらを参照して下さい)

      この場合のIPマスカレードの設定は、ローカルアドレスに関しての次の1行のみとなります。それ以外の設定は、DHCPでのアドレス取得時に自動的に設定されます。

      ipchains -A forward -s 192.168.253.0/24 -d 0.0.0.0/0 -j MASQ
      これらの設定をWeb設定画面で行うには、画面左のメニューから、「パケットフィルタ」をクリックし、「コマンド入力」をさらにクリックすると「コマンドによる設定」画面になります。

      コマンドによる設定画面

      画面中のコマンドの入力フィールドにipchains以下の引数を入力します。ipchainsは入力する必要はありません。

      -A forward -s 192.168.253.0/24 -d 0.0.0.0/0 -j MASQ

      コマンド入力

      入力した設定を反映させるために「起動時の設定に追加する」項の「Yes」を選択します。

      入力に誤りがないことを確認したら 設定 ボタンをクリックします。

    3. DHCPサーバ機能の設定
      工場出荷時にイーサネット1側は今回の設定例の通りの設定ですでにDHCPサーバ機能が動作していますが、設定を変更したり、再設定する場合は、以下の手順でDHCPサーバ機能の設定を行って下さい。

      Web設定画面の左のメニュー項目より、「サーバ機能」をクリックしてください。「サーバ機能」メニューの下に表示される「DHCPサーバの設定」をクリックすると右の画面に

      • DHCPサーバの設定と起動
      • DHCPサーバの停止

      の2つのメニューが表示されますので「DHCPサーバの設定と起動」をクリックして下さい。

      DHCPサーバの詳細設定以下は工場出荷時には以下の様な設定になっています。

      DHCPサーバの設定

      設定項目 工場出荷時設定
      default-lease-time 600
      max-lease-time 7200

      option項目
      設定項目 工場出荷時設定
      option subnet-mask 255.255.255.0
      option broadcast-address 192.168.253.255
      option routers 192.168.253.254
      option domain-name-servers 192.168.253.254
      option domain-name LinuxServer

      option項目
      設定項目 工場出荷時設定 設定項目 工場出荷時設定
      subnet 192.168.253.0 netmask 255.255.255.0
      range 192.168.253.10 192.168.253.132

      これらはDHCPサーバの基本機能と、DHCPのクライアントPCに対して渡すデータの設定項目です。

      例えば、本サーバのイーサネット1(eth0)のアドレスを変更する場合、クライアントからアドレス変換を行うOpenBlockSのアドレスが変わるため、DHCPサーバで受け渡すrouters項目のアドレスも変更しなければなりません。
      当然ですが、ネットマスクが変更されれば、それに合わせてoption subnet-maskも変更する必要があります。

      現時点のファームウェアでは上流のDHCPサーバから与えられたDNSに関する情報をそのまま本機のDHCPサーバに渡す仕様にはなっておりません。
      従いまして別途DNSサーバの情報を取得し、option domain-name-serversにはクライアントに渡すDNSのIPアドレスを、option domain-nameにドメイン名を入力する必要があります。
      ここで指定したドメイン名は、クライアント側でドメイン名を省略して指定した場合に自動に付加されるドメイン名となります。

      例えば、ここに、plathome.co.jpを指定すると、クライアントのWebブラウザ等でhttp://wwwと入力すれば、http://www.plathome.co.jpと変換されます。

      設定例
      option domain-name-servers 210.142.12.3
      option domain-name plathome.co.jp

      入力に誤りがないことを確認したら DHCPサーバの設定と起動 ボタンをクリックして下さい。

  4. 設定の保存と再起動
    全ての設定は、本体の保存用のフラッシュメモリに格納しておく必要があります。

    Web設定画面を使用して格納を行うためには、左のメニューより「保存・再起動・停止」をクリックして、保存、再起動、停止画面より「設定保存 -> 再起動する」または「設定保存 -> 停止する」を選択し、設定 ボタンを押す必要があります。

    保存、再起動、停止画面

ページの先頭へ戻る
個人情報取り扱い方針 |  利用規約 |  サイトマップ |
Copyright(C) 1999- Plat'Home Co.,Ltd. All rights reserved.