- 締切済み
ファイアウォールの設定
お世話になります。 ルータの下部にファイアウォール機器を設置します。 ファイアウォール下部の端末からは、エミュレータを使いVPN間通信を行います。また、VPN間通信とは別にインターネットへの接続も行います。この場合、ファイアウォールの設定はどの様にすれば良いのでしょうか。たとえば、VPNのポート(番号不明)、webのポートを開けてやればよいのでしょうか。 何方か御教授ください。 よろしくお願いします。
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- hirasaku
- ベストアンサー率65% (106/163)
こんにちは。hirasakuiです。 それだけの情報じゃぁ回答に困りますね。 VPN間通信とありますが、セキュリティゲートウェイ(ルーターにVPN機能があるとか)同士のVPN間通信なのか、それとも、クライアント/サーバー型(VPNServerがWAN口またはLAN内にあってクライアントにVPNクライアントソフトを入れる)のVPN間通信なのかによって穴の開け方が変わりますから。 それとVPNには下の方も言ってるようにIPSec、PPTPなどありますし、IP-VPNやインターネットVPNもあります。 まだありますよ・・・ ルーターとファイヤーウォールのIPセグメントはどうなるんですか? ルーターはunnumberedでNATはかけないとか、普通にNATするとか。普通のファイヤーウォールはNATしますからルーターでNATした場合2重NATになりますよね。 こうなると普通にパススルーするのかな? この辺になってくるとファイヤーウォールの機能に振られちゃいますね。 で、上記のことはあまり考えないとして、VPNで開けるポートは IPSecの場合、プロトコル番号(TCP,UDPのポートじゃないです)50(ESP)または51(AH) UDP500を開ける。 PPTPの場合、プロトコル番号 47(GRE) TCP1723 を開ける ってところでしょうか? WEBのポートは関係ないと思いますけど。 では。
- nta
- ベストアンサー率78% (1525/1942)
とにかくルータとファイアウォールがVPNに対応していることが大前提です。VPNは暗号化通信の仕組みのひとつであり、使われているPPTPもIPsecも「通信プロトコル」です。 IPsecはIPパケットを暗号化して送受信するので、ルータもファイアウォールも、通信されているIPパケットの中身を確認することはできません。すなわちポートをチェックするパケットフィルタリングができません。したがってIPsecのパケットを素通し(パススルー)してくれる機能を持っていて、さらにIPsecの認証であるAHなどのプロトコルを邪魔しないことが期待されています。 さらに、最近のVPN対応ルータではLAN内にあるプライベートアドレスのコンピュータからの通信を取り次ぐためにGREというカプセル化のしくみにも対応する必要があります。 ただ、やや古いタイプのVPNではサイトの入り口のDMZゾーンにVPNゲートウエイを置いて暗号化パケットを解読してしまい、LAN内では通常のパケットとして転送する構成もあります。この場合には普通にパケットフィルタリングをしてもさしつかえありませんが、「ファイアウォール下部の端末」にVPNを使う理由はないでしょう。
お礼
回答有難うございました。 ルータとFWの仕様を再確認します。 URLも参考にさせて頂きます。
お礼
回答有難う御座います。 質問に対する情報が少なくて申し訳ありませんでした。PCにVPNクライアントソフトを入れ、FWをスルーで通過させ、 ルータでNATをかけようと思います。 ポート番号を参考させてもらいます。