簡易ファイアウォール環境の設定

ここでは、OCN等で割り当てられたグローバルアドレスを使用するものとして設定の話を進めて行きます。

社内のネットワーク等で使用しているローカルアドレスの中に、さらにIPマスカレードによるアドレス変換を行う場合は、社内のネットワーク担当者より割り当てられたアドレスとゲートウェイのアドレスの情報を受け取って下さい。

設定手順

1. 設定するアドレスを決める
   1. グローバルアドレス
   2. ローカルアドレス
2. OpenBlockSの設定準備
3. Web設定画面での設定手順
   1. ネットワーク設定
      1. イーサネット1(100M/10Mポート)(eth0)の設定
      2. イーサネット2(10Mポート)(eth1)の設定
      3. ネットワークの設定
   2. IPマスカレード機能(ipchains)によるアドレス変換設定
   3. DHCPサーバ機能の設定
4. 設定の保存と再起動
5. v1.0の不具合について

1. 設定するアドレスを決める
   1. グローバルアドレス
      グローバルアドレスはOCNその他のプロバイダにより契約時に渡されるネットワークアドレスであり、このアドレスは自由に決定することは出来ません。
      契約時渡されたアドレスブロックより本サーバに割り当てるアドレスを選択する必要があります。このアドレスはプロバイダにより異なります。

      この項で説明に使用するネットワークアドレスはネットワークアドレス210.140.12.0/29(ネットマスク255.255.255.128、アドレス範囲は210.140.12.0〜210.140.12.7)から、

      210.140.12.3
      

      をOpenBlockSに割り当てたと仮定します。
      このアドレス(グローバルアドレス)は説明のための例として使用するものですのでお手元のOpenBlockSやその他のサーバ等では絶対に使用しないで下さい。
      ネットマスクに関しては、こちらを参照して下さい。

   2. ローカルアドレス
      ローカルアドレスは、ユーザが自由に設定できるネットワークアドレスですが、使用出来る範囲が定められています(下表参照)。
      また、このアドレスはグローバルアドレス側では使用出来ませんので注意して下さい。

      クラス	アドレス
      A	10.0.0.0〜10.255.255.255
      B	172.16.0.0〜172.31.255.255
      C	192.168.0.0〜192.168.255.255

      ここでは、工場出荷時設定で使用されている192.168.253.0/24(ネットマスク255.255.255.0)から、同じく出荷時設定である、

      192.168.253.254
      

      をOpenBlockSに割り当てたと仮定します。

2. OpenBlockSの設定準備

   IPアドレスの設定
   OpenBlocSを設定するには、OpenBlockSに接続されたPC等によりWebブラウザを使用して設定します。NetscapeやInternetExproler等が使用できます。 出荷時(またはINTスイッチを押しながら立ち上げて出荷時設定に戻した場合)イーサネットポート1(100M/10M)(eth0)は192.168.253.10〜192.168.253.132のアドレスブロックよりDHCPサーバでアドレスが割り当てられる設定になっています。
   そのため、設定用のPCのIPアドレスは、DHCPでの自動設定にしておくのが簡単です。
   DHCPによる自動設定にしない場合、上記の割り当て範囲以外、つまり192.168.253.250等に設定してもかまいません。
   グローバル側とローカル側の2つのネットワークに対し、OpenBlockSの2つのイーサネットポートは以下の様に割り当てて下さい。

   ローカル側	イーサネット1(100M/10Mポート)(eth0)
   グローバル側	イーサネット2(10Mポート)(eth1)

   eth0、eth1とは、それぞれのポートのシステム上での呼び名です。

3. Web設定画面での設定手順
   
   1. ネットワーク設定
      Web設定画面を開き左のメニュー項目より「ネットワーク設定」をクリックしてください。「ネットワーク設定」メニューの下に、
      1. イーサネット1の設定
      2. イーサネット2の設定
      3. ネットワークの設定

      の3つのメニューが表示されます。

      1. イーサネット1(100M/10Mポート)(eth0)の設定
         「イーサネット1の設定」をクリックすると「イーサネット1の設定」画面になります。

         

         各項目は工場出荷時の設定のままでかまいません。工場出荷時設定の場合は以下のように表示されるはずです。

         設定項目	設定例
         IPADDR	192.168.253.254
         NETMASK	255.255.255.0
         ONBOOT	yes
         BOOTPPROTO
         NETWORK	192.168.253.0
         BROADCAST	192.168.253.255

         入力に誤りがないことを確認したら ボタンをクリックして下さい。

      2. イーサネット2(10Mポート)(eth1)の設定
         「イーサネット2の設定」をクリックすると「イーサネット2の設定」画面になります。

         

         グローバルアドレスやネットマスクなど必要な項目を正しく入力して下さい。

         設定項目	設定例	説明
         IPADDR	210.142.12.3	OpenBlockSに割り当てた、グローバル側のIPアドレスを入力します。
         NETMASK	255.255.255.248	プロバイダなどから提供されるネットマスクを入力します。
         ONBOOT	yes	通常は「yes」および空欄のまま使用して下さい。
         BOOTPPROTO
         NETWORK	210.142.12.0	プロバイダなどから提供されるネットワークアドレスの値を入力します。
         BROADCAST	210.142.12.7	プロバイダなどから提供されるブロードキャストの値を入力します。

         入力に誤りがないことを確認したら ボタンをクリックして下さい。

      3. ネットワークの設定
         「ネットワークの設定」をクリックすると「ネットワークの設定」画面になります。

         

         ホスト名、ドメイン名などを入力して下さい。

         設定項目	設定例	説明
         FORWARD_IPV4	yes
         HOSTNAME	gonta1.plathome.co.jp	本サーバのホスト名を入力します。プロバイダに接続された場合はその申請手続きに基づく値を入力して下さい。
         DOMAINNAME	plathome.co.jp	本サーバのドメイン名を入力します。プロバイダに接続された場合はその申請手続きに基づく値を入力して下さい。
         GATEWAY	210.142.12.1	グローバルネットワーク側のゲートウェイのアドレスであり、通常はインターネット網に接続するルータ装置のアドレスを入力します。
         GATEWAYDEV	eth1	グローバル側に割り当てたイーサネット2(eth1)を指定します。eth1を入力してください。

         簡易ファイアウォールとしてだけ使用する際は、工場出荷時設定のままでかまいません。
         入力に誤りがないことを確認したら ボタンをクリックして下さい。

   2. IPマスカレード機能(ipchains)によるアドレス変換設定
      今回の設定例では、イーサネット1(eth0)(ローカルアドレス)側は　192.168.253.0/24　のネットワークを持ち、イーサネット2(eth1)(グローバルアドレス)側は　210.142.12.0/29　のネットワークを持っていることになります。
      (上記のアドレス表記についてはこちらを参照して下さい)
      この場合のIPマスカレードの設定は、次の3行となります。

      (1) ipchains -A forward -s 192.168.253.0/24 -d 192.168.253.0/24 -j ACCEPT
      (2) ipchains -A forward -s 210.142.12.0/29 -d 0.0.0.0/0 -j ACCEPT
      (3) ipchains -A forward -s 192.168.253.0/24 -d 0.0.0.0/0 -j MASQ
      

      これらの設定をWeb設定画面で行うには、画面左のメニューから、「アドレス変換」をクリックし、「コマンド入力」をさらにクリックすると「コマンドによる設定」画面になります。

      

      画面中のコマンドの入力フィールドにipchains以下の引数を入力します。

      -A forward -s 192.168.253.0/24 -d 192.168.253.0/24 -j ACCEPT
      

      

      入力した設定を反映させるために「起動時の設定に追加する」項の「Yes」を選択します。
      入力に誤りがないことを確認したら ボタンをクリックします。
      以下同様に順番に残りの設定の引数を追加します。

      

      

   3. DHCPサーバ機能の設定
      工場出荷時にイーサネット1側は今回の設定例の通りの設定ですでにDHCPサーバ機能が動作していますが、設定を変更したり、再設定する場合は、以下の手順でDHCPサーバ機能の設定を行って下さい。
      Web設定画面の左のメニュー項目より、「サーバ機能」をクリックしてください。「サーバ機能」メニューの下に表示される「DHCPサーバの設定」をクリックすると右の画面に
      • DHCPサーバの設定と起動
      • DHCPサーバの停止

      の2つのメニューが表示されますので「DHCPサーバの設定と起動」をクリックして下さい。

      DHCPサーバの詳細設定以下は工場出荷時には以下の様な設定になっています。

      

      設定項目	工場出荷時設定
      default-lease-time	600
      max-lease-time	7200

      
      

      option項目
      設定項目	工場出荷時設定
      option subnet-mask	255.255.255.0
      option broadcast-address	192.168.253.255
      option routers	192.168.253.254
      option domain-name

      
      

      option項目
      設定項目	工場出荷時設定	設定項目	工場出荷時設定
      subnet	192.168.253.0	netmask	255.255.255.0
      range	192.168.253.10	〜	192.168.253.132

      これらはDHCPサーバの基本機能と、DHCPのクライアントPCに対して受け渡すデータの設定項目です。
      例えば、本サーバのイーサネット1(eth0)のアドレスを変更する場合、クライアントからアドレス変換を行うOpenBlockSのアドレスが変わるため、DHCPサーバで受け渡すrouters項目のアドレスも変更しなければなりません。当然ですが、ネットマスクが変更されれば、それに合わせてoption subnet-maskも変更する必要があります。
      option domain-name(ドメイン名)はネットワーク設定の項でも述べた通り、指定すべきものがあれば、指定して下さい。
      ここで指定したドメイン名は、クライアント側でドメイン名を省略して指定した場合に自動に付加されるドメイン名となります。

      例えば、ここに、plathome.co.jpを指定すると、クライアントのWebブラウザ等でhttp://wwwと入力すれば、http://www.plathome.co.jpと変換されます。

      入力に誤りがないことを確認したら ボタンをクリックして下さい。

4. 設定の保存と再起動
   全ての設定は、本体の保存用のフラッシュメモリに格納しておく必要があります。
   Web設定画面を使用して格納を行うためには、左のメニューより「起動・停止」をクリックして、再起動、停止画面より「再起動する」または「停止する」を選択し、 ボタンを押します。

   

5. v1.0の不具合について
   OpenBlockSのWeb設定画面Ver.1.0では、DHCPサーバの設定時に、クライアントにDNSのアドレスが渡りません。
   「OpenBlockSの不具合と対策 不具合4. DHCPサーバーからDHCPクライアントにDNSのアドレスが渡らない」をご覧の上別途DNSの設定を行って下さい。