FutureNet

ASシリーズ

モバイル接続

5.フィルタとNAT

5.9 インターネット側からの接続と接続制限

AS-250をインターネット常時接続にし、必要に応じてセンターからWEBブラウザで拠点に接続してオンデマンド画像監視を行うものとします。

センターから拠点IPカメラに対してhttpで画像を取得するための通信、及びセンターからAS-250に対するpingやTCP通信以外はフィルタで遮断しています。

センター側送信元は固定IPアドレス x.x.x.xを取得しているものとします。送信元IPアドレスが固定でない場合フィルタは設定できません。

 

【 構成図 】

WS000007

 

【 設定例 】

rsport 0 lcpkeepalive on

filter 0 pass in x.x.x.x/32 192.168.254.254/32 tcp * * ppp1
filter 1 pass in x.x.x.x/32 192.168.254.254/32 icmp * * ppp1
filter 2 pass in x.x.x.x/32 192.168.254.009/32 tcp * 80 ppp1
filter 3 pass in * 192.168.254.254/32 udp 53 * ppp1
filter 31 reject in * * * * * ppp1

domain 0 example testid testpass 0.0.0.0/0 0.0.0.0

nat 0 192.168.254.254 tcp telnet ipcp 0
nat 1 192.168.254.254 icmp * ipcp 0
nat 2 192.168.254.9 tcp www ipcp 0
nat 47 * * * ipcp 0

dnsrelay activate on

alwaysonconnect activate on
alwaysonconnect domainname example

【 設定例解説 】

domain 0 example testid testpass 0.0.0.0/0 0.0.0.0

APN(AS-250/Xの場合はドメイン名)、ユーザID、パスワード、宛先ネットワークアドレス、WAN側IPアドレス(AS-250/Xの場合はメトリック)を設定します。

宛先ネットワークアドレスは、インターネット接続の場合0.0.0.0/0と指定します。 これで全ての異なるネットワーク向けパケットがWAN側への送信対象となります。

WAN側IPアドレスは、予め指定されたIP アドレスをIPCP で通知する場合に指定します。通知しない場合は0.0.0.0とします。

AS-250/Xの場合は、WAN側IPアドレスは不要で”domain 0 au-net.ne.jp au au 0.0.0.0/0 1″のように入力します。

 

常時接続の設定
alwaysonconnect activate on
alwaysonconnect domainname example

常時接続を有効にして、常時接続先のAPNを指定します。

 

natの設定

nat 0 192.168.254.254 tcp telnet ipcp 0

nat 1 192.168.254.254 icmp * ipcp 0

センターからAS-250 (192.168.254.254)へのTelnet接続を可能にします。また、pingも通します。

 

nat 2 192.168.254.9 tcp www ipcp 0

センターからIPカメラ (192.168.254.9) へのWEBアクセスを可能にします。

 

 パケットフィルタの設定
filter 0 pass in x.x.x.x/32 192.168.254.254/32 tcp * * ppp1

Telnet通信を行うために、送信元センター(X.X.X.X)から、送信先AS-250(192.168.254.254)へTCPパケットを通過させます。

filter 1 pass in x.x.x.x/32 192.168.254.254/32 icmp * * ppp1

送信元センター(X.X.X.X)から、送信先AS-250(192.168.254.254)へpingパケットを通過させます。

filter 2 pass in x.x.x.x/32 192.168.254.9/32 tcp * 80 ppp1

送信元センター(X.X.X.X)から送信先IPカメラ(192.168.254.9)へhttpパケットを通過させます。

filter 3 pass in  * 192.168.254.254/32 udp 53 * ppp1

DNSで使用するポート(UDPポート 53)の通信を許可します。

 

 filter 31 reject in * * * * * ppp1

その他のWAN側からAS-250へのパケットはすべて遮断します。

 

 IPカメラのネットワーク設定

 

IPアドレス 192.168.254.9
サブネットマスク 255.255.255.0
デフォルトゲートウェイ 192.168.254.254
DNSサーバ 192.168.254.254

 

IPカメラのネットワーク設定は上記とします。 IPカメラのデフォルトゲートウェイとDNSサーバはAS-250 (192.168.254.254)に設定して下さい。