| ファイアウォール機能 テクニカルガイド |
|
目次
索引
|
| 第5章 FAQ | > 5.2 環境設定 |
同一送信元からのパケットまたは同一送信先へのパケットを、一定時間内にある個数以上受け取った場合、アラートメッセージを表示します。RIPやMicrosoftのNetBIOS などは、定期的にブロードキャストパケットを送信し続けるため、アラートイベントとして検出される場合があります。
これらのパケットに対するアラートメッセージを抑止するためには、当該サービスに対してフィルタリング条件を定義し、ログを採取しないように設定する必要があります。以下の設定例を参考に、条件定義を行なってください。
サービス情報
MicrosoftのNetBIOS関連のサービス
|
サービス名(例) |
プロトコル |
ポート番号 |
固定送信元ポート |
バックコネクション |
|---|---|---|---|---|
|
nbname |
udp |
137 |
あり(137のみ) |
なし |
|
nbname_brd |
udp |
137 |
あり(137のみ) |
あり |
|
nbdatagram |
udp |
138 |
あり(138のみ) |
なし |
|
nbdatagram_brd |
udp |
138 |
あり(138のみ) |
あり |
RIP関連のサービス
|
サービス名(例) |
プロトコル |
ポート番号 |
固定送信元ポート |
バックコネクション |
|---|---|---|---|---|
|
route |
udp |
520 |
あり(520のみ) |
あり |
サービスグループ情報
MicrosoftのNetBIOS関連のサービス
|
サービスグループ名(例) |
サービスグループメンバ |
|
nbname_Grp |
nbname, nbname_brd |
|
nbdatagram_Grp |
nbdatagram, nbdatagrm_brd |
ネットワーク構成
各インタフェースは、以下のように定義されていると仮定します。
|
デバイス名(例) |
アドレス |
接続位置 |
|---|---|---|
|
hme0 |
192.168.200.1 |
内部ネットワーク |
|
hme1 |
200.200.200.1 |
外部ネットワーク |
ネットワーク設定
各インタフェースが接続されているネットワークを設定します。
|
ネットワーク名 |
アドレス |
ネットマスク |
設定位置 |
|---|---|---|---|
|
in_net |
192.168.200.0 |
255.255.255.0 |
hme0配下 |
|
out_net |
200.200.200.0 |
255.255.255.224 |
hme1配下 |
フィルタリング条件
以下のようにフィルタリング条件を設定します。
hme0−under(hme0)
|
サービス名 |
送信元 |
送信先 |
処理 |
方向 |
ログ採取 |
|---|---|---|---|---|---|
|
nbname_Grp |
in_net |
hme0 |
BLOCK |
Forward |
しない |
|
nbdatagram_Grp |
in_net |
hme0 |
BLOCK |
Forward |
しない |
|
route |
in_net |
hme0 |
BLOCK |
Forward |
しない |
hme1−under(hme1)
|
サービス名 |
送信元 |
送信先 |
処理 |
方向 |
ログ採取 |
|---|---|---|---|---|---|
|
nbname_Grp |
out_net |
hme1 |
BLOCK |
Forward |
しない |
|
nbdatagram_Grp |
out_net |
hme1 |
BLOCK |
Forward |
しない |
|
route |
out_net |
hme1 |
BLOCK |
Forward |
しない |
routedを起動させている場合は、上記の"route"サービスに対する 設定条件の方向を"Dual"に設定して下さい。
|
目次
索引
|