ファイアウォール設定

[更新: 2025年12月10日]

VPNルータのファイアウォール機能の設定方法についての説明です。

1. 概要

概要図

ファイアウォール機能では、VPNルータのWAN側・LAN側各インターフェースにおいて以下の機能を提供します。

  • インターフェースごとに受信/送信するパケットを指定したルールに基づいてフィルタリング

  • ステートフルインスペクションによる内部→外部向け通信の戻りパケットの自動許可
    ※スタティックNATはプレミアムプラン/ハイスペックプランでのみ利用可能

  • VPNルータ自身に対するパケットフィルタリング(※)

※オープンしていないTCP/UDPポートに対するパケットの破棄(PPTP, L2TP/IPsec, サイト間VPNで使用するポートは各機能使用時のみオープン)

2. ファイアウォールルールの新規設定

ファイアウォールルールの設定は、設定対象となるVPNルータの設定画面より「ファイアウォール」タブを選択することで行います。すでにルール設定が行われている場合、リスト画面に設定済みルールの一覧が表示されます。

新たに追加する場合は、リスト画面上部に表示されるタブより設定対象のインターフェースを選択し、「受信方向」または「送信方向」それぞれのリスト画面下部の「追加」ボタンをクリックします。

VPNルータの設定画面より「ファイアウォール」タブを選択

ルール追加画面が表示されるので、各項目を入力します。

ルール追加画面

プロトコル

フィルタリング対象のプロトコルをTCP / UDP / ICMP / IPから選択

送信元ネットワーク

送信元のIPアドレス、もしくはネットワーク(例: 192.168.0.0/24)を入力

送信元ポート

送信元のポート番号を1〜65535の範囲の整数、またはハイフンによる範囲指定(例: 1024-65535)で入力
※プロトコルで「ICMP」または「IP」を選択した場合は非表示

宛先ネットワーク

宛先のIPアドレス、もしくはネットワークを入力
※ポートフォワーディングやスタティックNAT適用後のプライベートIPアドレス

宛先ポート

宛先のポート番号を1〜65535の範囲の整数、またはハイフンによる範囲指定(例: 1024-65535)で入力
※プロトコルで「ICMP」または「IP」を選択した場合は非表示

アクション

条件にマッチしたパケットに対する処理を「allow」(許可)もしくは「deny」(拒否)のいずれかを選択

ログ記録

「有効」を選択すると、ルールにマッチした通信をロギング

説明

ルールの説明など、任意の文字列の記載が可能

※空欄で設定された項目は、すべての条件にマッチ(any)として設定されます
※設定可能なルール数は、インターフェース合わせて受信方向と送信方向にそれぞれ60個(スタンダードプラン)または200個(プレミアムプラン・ハイスペックプラン)となります
※いずれの条件にもマッチしないパケットはallow動作となり、ファイアウォールを通過します
※プレミアムプラン/ハイスペックプランでは、スタティックNAT機能により内部から外部に向けた通信の戻りパケットが自動的に許可されます(ステートフルインスペクション機能)

設定完了後、「反映」ボタンをクリックしVPNルータ側への設定反映が必要となります(VPNルータが起動状態の場合でも、電源をシャットダウンすることなく「反映」ボタンのクリックで設定が反映されます)。 また、電源が「DOWN」状態の場合は、電源操作メニューより「起動」を選択し、VPNルータを起動します。

「反映」ボタンのクリックで設定が反映

設定済みのルール個数と設定上限数(受信方向・送信方向それぞれに、スタンダードプランは60個、プレミアムプラン・ハイスペックプランは200個)はリスト画面上部に表示されます。

設定済みのルール個数と設定上限数

3. ファイアウォールルールの編集

追加したルールは登録番号順に評価され、条件にマッチした場合に「アクション」で設定した動作(allowまたはdeny)が行われます。想定した条件でルールが機能するよう、必要に応じて設定されたルールリストを変更します。

ルールの順番の変更や編集、削除はリスト画面右側のアイコンでそれぞれ以下の操作を行うことができます。

アイコン

説明
../../_images/icon-pencil.png

ルール追加時と同様の画面が表示され、ルールを編集することができます
../../_images/icon-list.png

ドラッグしながら移動させることでルールの順番を変更することができます
../../_images/icon-cross.png

ルールを削除します

※設定完了後、「反映」ボタンをクリックしVPNルータ側への設定反映が必要となります

4. ファイアウォールルールの設定例

HTTP(TCP/80番ポート)への着信のみ許可し、他のポート宛の着信は全て拒否する

VPNルータ配下のサーバは全てウェブサーバのためHTTPサービスへの着信のみを許可し、SSHなど他のサービスへの接続は全て拒否する場合の例です。

ファイアウォールルールの設定例1

※「送信方向」のルールは未定義です

203.0.113.0/24ネットワークからのみSSH(TCP/22番ポート)を許可

自社ネットワーク「203.0.113.0/24」からのみ、「プライベート1」インターフェース配下の各サーバへSSH接続を許可する場合の例です。

ファイアウォールルールの設定例2

※「受信方向」のルールは未定義です
※プライベートインターフェースのため、「受信方向」と「送信方向」がグローバルインターフェースとは逆になります

内部サーバからの不要サービスの動作を拒否

VPNルータ配下のサーバで意図せずにSMTP(25番ポート)、DNS(53番ポート)サービスが動作した場合、外部へのパケット送出を防ぐ場合の例です。

ファイアウォールルールの設定例3

※「送信方向」のルールに設定します

5. ファイアウォールのログ閲覧

VPNルータの詳細画面にて「ログ」タブをクリックし、「FW受信方向」「FW送信方向」タブをクリックすると、ログが表示されます。

ファイアウォールのログ閲覧

6. ファイアウォールログ仕様

ファイアウォールルールにて「ログ記録」を有効にした場合、VPNルータの「ログ」タブにて、受信方向・送信方向それぞれのログを確認することができます。 ログは以下の形式で出力され、ログ先頭の識別情報により、どのルールに基づく動作か判別することが可能です。

ログ例:

Aug 31 hh:mm:ss rt-xxxxxxxx kernel: [16819638.519756] [eth0-in-forward-1000-A] IN=eth0 OUT=eth1 MAC=xx:xx SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=xx ID=xxxxx DF PROTO=TCP SPT=xxxxx DPT=443 WINDOW=26883 RES=0x00 SYN URGP=0

6.1 ログ形式について

ログ形式は、次の Linux 標準メカニズムに基づきます。

  • syslog(RFC3164 形式) … 日時やホスト名などのログヘッダが出力されます。

  • Linux Kernel / Netfilter(iptables LOG ターゲット形式) … パケット情報が出力されます。

そのため、ログは以下の構造で構成されています:

部分

説明

syslog ヘッダ (例: Aug 31 hh:mm:ss rt-xxxx kernel:)

RFC3164形式の標準 syslog 形式で、タイムスタンプ、ホスト名、ログを出力したコンポーネントを示します

カーネルタイマー (例: [16819638.519756])

システム起動からの経過秒数(uptime)を示します

Netfilter ログ本体 (例: [eth0-in-forward-1000-A] IN=eth0 ...)

Firewall 処理結果およびパケット情報が出力されます

6.2 ログプレフィックスの意味

ログの先頭部には、以下の構造があります。

例:

[eth0-in-forward-1000-A]
  └────────────┘   │  └─ A(許可)
         │         └──── 1000(ルール番号)
         └── eth0-in-forward(対象インターフェース・方向)

項目

内容

補足説明

ethX

対象インターフェースを示します

eth0 → グローバル / eth1eth7 → プライベート

in / out

通信方向を示します

in = 受信方向 / out = 送信方向

forward / local

内部処理上の区分です

ログ上は forward のみ表示 されます(仕様)

XXXX(数値)

該当したファイアウォールルール番号です

ルール番号の仕様については、次節「6.3 ルール番号仕様」を参照してください

A / D

動作結果を示します

A = Allow(許可) / D = Deny(拒否)

6.3 ルール番号仕様

ログ中の数値(例:1000)は、本サービスの仕様に基づき、設定されたルールの登録順に応じて自動採番される識別番号です。

  • 同一インターフェース・同一方向内で設定された順番で採番されます。

  • 1000 1010 1020 のように、10 番刻みで番号が増加します。

  • 割り当て可能な番号の上限はプランにより異なり、スタンダードプランでは最大 1590 番、プレミアムプランおよびハイスペックプランでは最大 2990 番まで採番されます。

  • ルール番号は 管理画面には表示されず、ログのみで確認可能です。

6.4 ログ項目の説明

ログ中の各項目の意味は以下の通りです。
※Linux Netfilter / TCP/IP標準仕様に基づきます。

項目

説明

SRC / DST

送信元アドレス(Source)/宛先アドレス(Destination)

SPT / DPT

送信元ポート(Source Port)/宛先ポート(Destination Port)

PROTO

使用プロトコル(例:TCP、UDP、ICMP)

DF

Don't Fragment フラグが有効であることを示します。

TTL

Time To Live

LEN

パケットの長さ(バイト単位)

MAC

対象通信のL2(イーサネット)ヘッダ情報

※記録されているログのうち最新の100件が表示されます。
※最新100件よりも過去のデータを確認したい場合は、「ログファイルのダウンロード」より過去7日間(最大10MB)のログが取得できます。継続的なログ記録が必要な場合はsyslog転送機能をご利用ください。