特定のIPプロトコル番号(タイプ)のトラフィックがSonicWallを通りません
Description
デフォルトのすべてのサービスを許可するルールがあるにも関わらず、特定のIPプロトコル番号(タイプ)のトラフィックがSonicWallを通りません。
Resolution
SonicOSは、デフォルトで定義済みIPプロトコル以外のIPプロトコルを検出した場合に識別不能として破棄します。
任意のIPプロトコルのトラフィックを正常に制御するにはカスタムIP種別で定義し、且つ明示的に許可アクセスルールを作成する必要があります。
SonicOS 6.2 管理者ガイド RevB P.411-412より一部抜粋
~~~~~~~~~~~~~
表 34. 定義済みサービスタ イ プ
プロトコル IP 番号
ICMP 1
TCP 6
UDP 17
GRE 47
IPsec ESP 50
IPsec AH 51
IGMP 2
EIGRP 88
OSPF 89
PIM SM 103
L2TP[l2tp] 115
カスタム IP 種別サービスの追加
定義済み IP タイプのみを使用している場合、セキュリティ装置でその他の IP プロトコルタ イ プのトラフィック
が検出されると、そのトラフィックは識別不能として破棄されます。ただし、IANA (Internet Assigned Numbers
Authority:http://www.iana.org/assignments/protocol-numbers) により管理されている膨大な数の登録済み IP
種別のリストがあります。一般的でない (識別不能な) IP 種別トラフィックは厳格に削除する方が安全ではあり
ますが、機能が制限されます。
SonicOS では、カスタム IP 種別サービスオブジェクトがサポートされるため、任意の IP 種別を表すサービスオ
ブジェクトを作成できます。これにより、任意の種別の IPv4 トラフィックを認識および制御するファイア
ウォールア ク セスルールを作成できます。
補足 : 汎用サービス「すべて」では、カスタム IP タイプサービスオブジェクトが処理されません。つま
り、IP 種別 126 のカスタム IP 種別サービスオブジェクトを定義しただけでは、IP 種別 126 トラフィック
は既定の LAN > WAN 許可ルールで許可されません。
認識と処理を実現するには、以下の図に示すように、そのカスタムIP タイプサービスオブジェクトのみを含む
アクセスルールを作成する必要があります。
設定例
管理者が、RSVP ( リソース予約プロトコル - IP タイプ 46) および SRP (Spectralink ラジオプ ロ トコル - IP タイプ
119) を WLAN ゾーン (WLAN サブネット) の全クライアントから LAN ゾーン (例えば10.50.165.26 な ど) の
サーバまで許可する必要があるとします。管理者は、この 2 つのサービスを扱うカスタム IP タイプサービスオ
ブジェクトを定義できます。
1 「ネットワーク > サービス」ページで、ページ右上の「サービスオブジェクトに移動する」リンクを選
択して、「サービス」セクションへ移動します。
2 「追加」を選択します。「サービスの追加」ダイアログが表示されます。
のトラフィックがSonicWallを通りません-kA1VN0000000DBu0AM-0EMVN00000EnmjU.png)
3 サービスに付けるわかりやすい名前を入力します。
4 「プロトコル」ドロップダウンメ ニ ューから、「カスタム IP 種別」を選択します。
のトラフィックがSonicWallを通りません-kA1VN0000000DBu0AM-0EMVN00000EnmjP.png)
5 カスタム IP タイプのプロトコル番号を入力します。
補足: カスタム IP 種別の場合、ポート範囲は適用されないため、指定できません。
のトラフィックがSonicWallを通りません-kA1VN0000000DBu0AM-0EMVN00000Enmja.png)
のトラフィックがSonicWallを通りません-kA1VN0000000DBu0AM-0EMVN00000EnmjS.png)
補足: 定義済み IP 種別に対してカスタム IP 種別サービスオブジェクトを定義しようとすると、許
可されず、次のエラーメ ッセージが表示されます。
のトラフィックがSonicWallを通りません-kA1VN0000000DBu0AM-0EMVN00000EnmjR.png)
「Add (追加)」を選択します。
7 定義するユーザ定義サービスごとに手順 3 ~ 手順 6 を繰 り返します。
8 終了したら、「閉じる」を選択します。「ネットワーク > サービス」ページが表示されます。
9 「ネットワーク > サービス」ページで、セクションの右上の「サービスグループに移動する」リンクを選
択して、「サービスグループ」セクションへ移動します。
10 「サービスグループ」セクションで、「グループの追加」を選択します。「サービス グループの追加」
ダイアログが表示されます。
のトラフィックがSonicWallを通りません-kA1VN0000000DBu0AM-0EMVN00000EnmjW.png)
11 サービスグループに付けるわかりやすい名前を入力します。
12 IP 種別サービスのリストから、先ほど作成したカスタム IP サービスを選択します。
のトラフィックがSonicWallを通りません-kA1VN0000000DBu0AM-0EMVN00000Enmjc.png)
13 「->」ボタンを選択して、サービスを「ユーザ定義サービス」リストに移動します。
ヒント: 複数のサービスを選択してから「->」ボタンを選択すると、一度にすべてのサービスを移
動できます。
14 終了したら、「OK」をクリックします。「ネットワーク > サービス」ページが表示されます。
15 「ファイアウォール > アクセスルール」ページに移動します。「WLAN > LAN」で、「追加」を選択し
ます。
16 myServices にWLAN サブネットから10.50.165.26 ア ド レスオブジェクトへのアクセスを許可するアク
セスルールを定義します。
補足: 適切なゾーン、サービス、アドレスオブジェクトを選択します。双方向トラフィックのため
にアクセスルールを作成する必要がある場合もあります。例えば、myServices に 10.50.165.26 か
ら WLAN サブネットへのアクセスを許可する、LAN > WAN アクセスルールを追加する場合も考え
られます。
のトラフィックがSonicWallを通りません-kA1VN0000000DBu0AM-0EMVN00000EnmjY.png)
17 「OK」を選択します。
これで、IP プロトコル 46 および 119 のトラフィックが認識され、WLAN サブネットから10.50.165.26
への転送が許可されるようになります。
~~~~~~~~~~~~~