Endian UTMを初めて触ると、『ネットワークの設定』で??となると思うので、このネットワークモードの設定について簡単に書いてみます。
日本語版だとルーティング・ブリッジ・アップリンクなしの3種類のモードを最初に選ぶ事になります。
※英語版では Routed・Bridged・No uplink と表記されます。

 ルーティング(ルータモード)

これは Endian UTM の基本モードで、一般的なルータ(ファイアーウォール)と同じです。つまり、ネットワーク境界(WAN側とLAN側の境目)に設置し、各種フィルタ・IPマスカレード(NAPT)や、IPS(侵入検知)、各種プロキシ、コンテンツフィルターといった、いわゆる UTM (Unified Threat Management:統合脅威管理) としての機能が全て使えます。
※既存のネットワークに導入するには、すでにあるルータ(ファイアーウォール)と入替える事になります。

基本的な接続方法は、左図にあるようにWAN側とLAN側の2本足となりますが、公開サーバを設置するゾーン(DMZ)や、VPN接続されてきたモバイルクライアントや、WiFi 専用のゾーンといったエンタープライズ環境で必要なゾーンも追加で設定できます。

また、WAN側への接続は複数経路をサポートしています。主経路がダウンした場合には、自動的にバックアップ経路(回線)へ切り替わります。

 

 ブリッジ/アップリンクなし

この ブリッジアップリンクなし モードは、Endian UTM の大きな特徴の一つです。

これら2つのモードは、透過モードとも呼ばれ、既存のネットワークを変更する事無く Endian UTM を設置することができ、柔軟に運用が可能ですが、透過モードというのがどのように動作しているかを理解していないと、思わぬトラブルを招く事があるので注意が必要です。

ブリッジモードでは、ファイアーウォール機能が限定的ですが使えます。

ファイアーウォールというよりL2レベルでのフィルタ機能と言った方が良いかと思いまが、このブリッジモードでは送信ファイアーウォールというフィルタを使う事ができます。デフォルトでは、送信ファイアーウォール設定はON、内容は以下の通りです。
※メールサーバへ接続するサブミッションポート(TCP/587)を追加しておくと良いかも?

ここで GREEN と RED という新しい用語が出てきましたが、GREEN は LAN側、RED は WAN側と直感的に理解出来ます。
しかしルータモードであれば GREEN と RED は明らかにわかりますが、ブリッジモードではどのように判定しているのでしょうか?

ネットワークの設定からスタートするネットワーク設定ウィザードで、ブリッジを選択して進めていくと、ステップ4にインターネットアクセスの設定という画面が出来てきます。ここで Outgoling Interface を、複数あるイーサポートのどれか(画面の例では LAN4:eth3 )に割り当てます。ここで特定のポートを RED として指定することで、L2 においても流れるトラフィックの方向がわかるようになります。

このような設定を行うので、RED として設定した Endian UTM のイーサポートと、既存のルータ(ファイアーウォール)の LAN側のポートを物理的に結線することになります。
※この例では、Endian UTM のイーサポートの1~3までは単純なブリッジポートなので、全て LAN側に属します。

GREEN → RED(アウトバウンド)に対するフィルタは指定できますが、逆方向の RED → GREEN(インバウンド)のフィルタは設定出来ない事に注意してください。

また、L2 で動作しているのでポートフォワーディングとか NAPT といった L3 で動作するフィルタはもちろん書く事はできません。このフィルタは、LAN内のクライアントが『外部にある決められたサービスにしかアクセスできないようにする』という目的で利用するようです。
※個人的には、MACアドレスを指定したフィルタを書けるのは興味深かったです。

アップリンクなしには、上記のような特定ポートを RED として設定する項目はありません。また、純粋なブリッジなので、ファイアーウォールの機能も動作しません。ただし、上記のブリッジモードにしておいて送信ファイアーウォール設定を OFF にすれば実質アップリンクなしと同等になります。一本足にしてLAN側に接続し、単なるプロキシ(非透過モード)として利用するのであればこのモードで充分です。

クライアントPCにおいてプロキシを自動で設定したい場合には、Endian UTM を DNSサーバとして指定する事で WPAD の設定が自動的に行われます。デフォルトの設定では単なるキャッシュサーバですが、DNSプロキシというちょっと変わった機能もあるので、いろいろ検証してみたいと思っています。

投稿タグ