2019年11月05日
Tweet
前回までの記事では通常のNATモードでの設置を行いました。
個人的には前回までの設置方法が単純でわかりやすいので好きです。
トランスペアレントモード(透過モード)では既存の環境に影響を与えること無く設置が可能です。
ということで、前回と同様に設定を行ってみたいと思います。
環境は以前と同様です。
左下のPCは以前の環境では、XGによってNATされてインターネットアクセスとなっていました。PC(1)とはセグメントも異なっていました。
今回はXGを transparent モードで設定するので、検証用のPCとメンテナンス用のPC(1)は同じセグメントとなります。
DHCPも Router から取得します。
ゴールは以下の通りです。
・PC(1)からアクセスできるように、XGにIPを設定してアクセスできるようにします。
※ping / SSH も許可します
・PCから外部にアクセスしたときに各種フィルターが適用されることを確認します。
・上位の環境からDHCPによるIP取得ができることを確認します。
※WANインターフェースから設定を行えるようにするには、システムー管理から設定が必要です。
2019年11月04日:Sophos XG Firewall Home Edition のセットアップと基本的な設定(その2) を参考にしてください。
1. ブリッジインターフェースを作成する(レイヤ2透過ブリッジです)
参考
Sophos XG Firewall: ブリッジの設定方法
管理画面にログインし、「ネットワーク」 ページにアクセスし、右上の「インターフェースの」追加からブリッジの追加を選択します
インターフェース名を適当につけ、インターフェースを選択し、ゾーンを選びます。
ここでWANとLANが決まるので注意が必要です。
スタティックIPを選択し、管理用のIPを設定します。
2.DHCPからIPを取得する
この状態ではDHCPからIPを取得できないので、ファイアウォールの設定を変更します。
参考
Sophos XG Firewall: ブリッジモードで導入後、DHCP のリースされた IP アドレスを取得できない
※Sophos XG Firewall をウィザードに従ってインストールした状態では、LANからWANへのトラフィックはすべて許可されているようでした。そのためLANに接続した端末はDHCPサーバーに要求を出すことは可能に思われます。一方で、WAN側からの戻りトラフィックが拒否・破棄されているようです。
保護 - ファイアウォールのページを開きます。
ファイアウォールルールの追加をクリックし、ユーザー/ネットワークルールを選択します。
ルール名は適当です。
送信元ゾーンで WAN インターフェースを選択します。送信元ネットワークとデバイスは任意。時間も常時にします。
宛先 & サービスで、宛先ゾーンをLANにします。宛先ネットワークについては任意。サービスをDHCPを選択します。
詳細設定については、侵入防御などはすべてなしに設定しました。
これで 保護 - ファイアウォール の画面に戻ると、Traffic to WAN の項目に保存したフィルタが追加されていました。
この状態でDHCPからIPが取得できることを確認しました。
個人的には前回までの設置方法が単純でわかりやすいので好きです。
トランスペアレントモード(透過モード)では既存の環境に影響を与えること無く設置が可能です。
ということで、前回と同様に設定を行ってみたいと思います。
環境は以前と同様です。
左下のPCは以前の環境では、XGによってNATされてインターネットアクセスとなっていました。PC(1)とはセグメントも異なっていました。
今回はXGを transparent モードで設定するので、検証用のPCとメンテナンス用のPC(1)は同じセグメントとなります。
DHCPも Router から取得します。
ゴールは以下の通りです。
・PC(1)からアクセスできるように、XGにIPを設定してアクセスできるようにします。
※ping / SSH も許可します
・PCから外部にアクセスしたときに各種フィルターが適用されることを確認します。
・上位の環境からDHCPによるIP取得ができることを確認します。
※WANインターフェースから設定を行えるようにするには、システムー管理から設定が必要です。
2019年11月04日:Sophos XG Firewall Home Edition のセットアップと基本的な設定(その2) を参考にしてください。
1. ブリッジインターフェースを作成する(レイヤ2透過ブリッジです)
参考
Sophos XG Firewall: ブリッジの設定方法
管理画面にログインし、「ネットワーク」 ページにアクセスし、右上の「インターフェースの」追加からブリッジの追加を選択します
インターフェース名を適当につけ、インターフェースを選択し、ゾーンを選びます。
ここでWANとLANが決まるので注意が必要です。
スタティックIPを選択し、管理用のIPを設定します。
2.DHCPからIPを取得する
この状態ではDHCPからIPを取得できないので、ファイアウォールの設定を変更します。
参考
Sophos XG Firewall: ブリッジモードで導入後、DHCP のリースされた IP アドレスを取得できない
※Sophos XG Firewall をウィザードに従ってインストールした状態では、LANからWANへのトラフィックはすべて許可されているようでした。そのためLANに接続した端末はDHCPサーバーに要求を出すことは可能に思われます。一方で、WAN側からの戻りトラフィックが拒否・破棄されているようです。
保護 - ファイアウォールのページを開きます。
ファイアウォールルールの追加をクリックし、ユーザー/ネットワークルールを選択します。
ルール名は適当です。
送信元ゾーンで WAN インターフェースを選択します。送信元ネットワークとデバイスは任意。時間も常時にします。
宛先 & サービスで、宛先ゾーンをLANにします。宛先ネットワークについては任意。サービスをDHCPを選択します。
詳細設定については、侵入防御などはすべてなしに設定しました。
これで 保護 - ファイアウォール の画面に戻ると、Traffic to WAN の項目に保存したフィルタが追加されていました。
この状態でDHCPからIPが取得できることを確認しました。
stock_value at 16:59│Comments(0)│技術