SonicWall 背後に位置するサーバ (Webserver, FTP, Email, Terminal Service, etc.) に通信を許可するためにポートを開放する方法

Description

SonicWall 背後に位置するサーバ (Webserver, FTP, Email, Terminal Service, etc.) に通信を許可するためにポートを開放する方法 SonicWall 背後に位置するサーバ (Webserver, FTP, Email, Terminal Service, etc.) に通信を許可するためにポートを開放する方法

Resolution

ファームウェア/ソフトウェアヴァージョン: SonicOS Enhancedのみ。(SonicOS Standardに関してはKBID3703を参照) 
サービス:ポートリダイレクト(NATポリシー、アドレスオブジェクト、ファイアウォールアクセスルール)。

アプリケーション: 

手動でポート(Webserver, FTP, Email, Terminal Service)を開き、ファイアウォールの背後にあるサーバーへのインターネットからのアクセスを許可するには、以下の手順に従います。

  1. 必要なアドレスオブジェクトを作成します。 
  2. 必要なNATポリシーを定義します。(NATポリシー、インバウンド、アウトバウンド、ループバック)。
  3. 必要なアクセスルール(ファイアウォールアクセスルール)を作成します。
推奨:ウィザードを使用すると、SonicWallを迅速に設定し、内部サーバーへのパブリックアクセスを許可することができます。ウィザードは、上記で説明したポートリダイレクト処理を簡素化します。
詳細な手順については、「 構成ウィザードを使用してHTTPおよびHTTPSポートを開く方法」を参照してください。
注意: SonicWALL Network Securityデバイスは、ブラウザ経由でHTTP(ポート80)またはHTTPS(443)を使用して管理できます。HTTPとHTTPSの両方のプロトコルは、デフォルトで有効になっています。
SonicWALLのパブリックIP(WAN IP)を使用してHTTPとHTTPSをサーバにリダイレクトする場合、管理ポート(デフォルトの管理ポート)を使用していない別のポートに変更する必要があります(たとえば8080.444、 4443など)。この変更は、システム| 管理から実施できます。 
シナリオ:
次の図は、192.168.1.100などのプライベートIPを持つ内部サーバーにインターネットからのWebサーバー(HTTP)へのアクセスを許可する方法を示しています。 

設定が完了すると、インターネットから、ユーザはPublic IP 1.1.1.1を介してWEBサーバ(HTTP)にアクセスできます。

Image

手順:

この例ではHTTPSが使用されていますが、HTTPS、SMTP、FTP、ターミナルサービス、SSHなどの他のサービスにも同じ手順が適用されます。

1.必要なオブジェクト(アドレスオブジェクト)を作成し、注:アドレスオブジェクトの作成方法の詳細については、「SonicWALL UTMアプライアンスでのアドレスオブジェクトの作成方法」を参照してください。

  •  ネットワーク| アドレスオブジェクトを選択します。
  •  [ 追加]をクリックします。サーバーのプライベートIP(LAN)とサーバーのパブリックIP(WAN)に対応する2つのオブジェクトを作成する必要があります。 

Image

Image

  • OKをクリックして処理を完了します。

2. NATポリシーを定義します。

  • ネットワーク| NATポリシーを選択します。
  • [ 追加]をクリックし、ドロップダウンメニューからルールを設定します。
NATポリシーを使用する方法を理解することは、IPパケットの構築から始まります。各パッケージにはアドレス情報が含まれているため、パッケージは宛先に移動し、宛先には元の要求に応答します。パッケージには、「リクエスタ」のIPアドレス、リクエスタが使用するプロトコルに関する情報、および宛先IPアドレスが含まれます。SonicOS EnhancedのNATポリシーは、パケットの関連部分を検査し、着信トラフィックと発信トラフィックの特定のフィールドの情報を動的に書き換えることができます。

注: SonicOS Enhancedでカスタムポートを追加する方法の詳細については、SonicOS Enhancedでカスタムポート(カスタムサービス)を追加する方法を参照してください。

Image

注: 再帰ポリシーを作成する:  このボックスを有効にすると、定義されているNATポリシーの横に受信または送信ミラーのミラールール(受信NAT、送信NAT)が自動的に作成されます。 

  • [ 追加]をクリックします
ループバックポリシー:
パブリックIP 1.1.1.1を使用して内部ゾーンからサーバにアクセスする場合は、次のようにNATループバックポリシーを作成する必要があります。
変換前の送信元:ファイアウォールされたサブネット 
変換後の送信元: Mywebserver Public
変換前の送信先: Mywebserver Public
変換後の送信先: Mywebserver Private
変換前サービス: HTTP
変換後サービス:オリジナル
受信インターフェース:任意
発信インターフェース:任意
コメント:ループバックポリシー
NATポリシーを有効にする:マーク

再帰ポリシーを作成する:未チェック

Image

 

  • 完了したら、ネットワーク| NATポリシー状に、着信NATポリシーと発信NAT ポリシーが表示されます。
3.アクセスルールを作成します。
  • ファイアウォール| アクセスルールを選択します 
  • 表示形式からマトリックスを選択し、WAN to LANアクセスルールに移動します。
  • [追加]をクリックし、以下のように入力してルールを作成します。
注意:ネットワークへのアクセスルールを定義できることは非常に強力なツールです。カスタムアクセスルールを使用すると、ファイアウォールによって提供される保護を無効にすることができます 。

 Gen 5 :SonicOS(5.8以下)およびGen 6 :(6.1&以下)ファームウェア

Image

  Gen 5:SonicOS(5.9以上)およびGen 6:(6.2&以上)ファームウェア

Image

  • 詳細タブの中に「TCP接続無動作タイムアウト」があり、デフォルトでは15分に設定されています。値を増加させることによりTelnet、FTP、SSH、VNCとRDPのようなプロトコルのタイムアウト値に反映させることができます。(すべてのHTTPやHTTPSに対して長い時間を適用する際は慎重にお願します。)
  • [OK]をクリックします。

Related Articles

  • How to configure Link Aggregation
    Read More
  • Web Proxy Forwarding is not Supported to a Server on the LAN
    Read More
  • アプリケーション制御を使用して ICMP(Ping)をブロックする方法
    Read More

Categories

Firewalls
SonicWall NSA Series
Firewalls
SonicWall SuperMassive 9000 Series
Firewalls
SonicWall SuperMassive E10000 Series
Firewalls
TZ Series
not finding your answers?
Ask the Community