【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.4】

今回の記事は Sophos 設定の備忘録です。

 

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.1】

 

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.2】

 

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.4】

 

 

 

 

NAT の設定

今回の NAT の設定です。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

 

 

 

 

Sophos のマニュアルより【NAT とは】

Sophos の NAT メニューより、ゲートウェイの NAT ルールを定義し、管理することができます。

ネットワークアドレス変換(NAT)とは、

を書き換えるプロセスです。

NAT を使用するほとんどのシステムは、プライベートネットワーク上の複数のホストが1つのパブリックIPアドレスを使用してインターネットにアクセスできるようにするために NAT を使用しています。

あるクライアントが IP パケットをルータに送信すると、NAT は送信アドレスを別のパブリック IP アドレスに変換してからインターネットにパケットを転送します。

応答パケットを受信すると、NAT はパブリックアドレスを元のアドレスに変換し、クライアントにパケットを転送します。

システムリソースに応じて、NAT は自己裁量で大規模内部ネットワークに対応できます。

 

 

 

Sophos のマニュアルより【マスカレードとは】

マスカレードとは、送信元ネットワークアドレス変換 (SNAT) の特殊ケースであり、ネットワークインタフェース (通常は、インターネットに接続された外部インタフェース) 上の 1つのグローバル IP アドレスの背後に内部ネットワーク (通常はプライベート IP アドレスス) をマスカレードすることができます。

 

SNATの場合、複数の送信元アドレスを複数の宛先アドレスにマッピングすることができるため、より汎用的です。

「1対1」ではなく「N対N」です。

 

注 – 送信元アドレスは、指定されたインタフェース経由でパケットがゲートウェイシステムから配信された場合にのみ変換されます。新しい送信元アドレスは常に、当該インタフェースの最新IPアドレスとなります(つまり、このアドレスは動的です)。

 

 

【例】

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

ネットワーク:マスカレードする(内部)ネットワークを選択します。

優先順位:ルールの優先順位を定義する位置番号。番号が小さいほど優先順位が高くなります。ルールは昇順に照合されます。あるルールが一致すると、それ以降、それより大きい番号のルールは評価されません。

インタフェース(I/F):インターネットに接続する(外部)インタフェースを選択します。

アドレスを使用:選択したインタフェースに複数のIPアドレスが割り当てられている場合(インタフェースとルーティング > 追加アドレス参照)、マスカレードに使用するIPアドレスをここで定義できます。

コメント(オプション):説明などの情報を追加します。

 

 

 

 

NAT(SNAT と DNAT)とは

DNAT (Destination Network Address Translation) と SNAT (Source Network Address Translation) は、いずれも NAT の特殊ケースです。

 

DNAT(ディスティネーション NAT、宛先 NAT)

DNATは、内部ネットワークでプライベートIPアドレスを使用しており、管理者が一部のサービスを外部からも使用可能にしたい場合に特に便利です。

 

【例】

内部ネットワーク(プライベートサブネット)で

の場合です。

インターネット経由のクライアントに対して Web サーバーのポート TCP/80 を使用可能にする必要があります。

192.168.0.X はプライベートアドレスであるため、インターネット経由でアクセスしてきたクライアントは Web サーバーと直接通信することはできません。

ただし、Sophos など UTM の外部(公開)アドレスとは通信することはできます。

(今回の場合は ELB が相当します)

この場合、DNAT を利用することで、ポート TCP/80 向けのパケットを内部の Web サーバーに転送できます。

 

※注意

DNATはファイアウォールの前に行われるため、適切なファイアウォールルールを定義しておく必要があります。

 

 

SNAT(ソース NAT、送信元 NAT)

常にプライマリネットワークインタフェースアドレスにマッピングするマスカレードと異なり、SNAT は送信元アドレスを SNAT ルールに指定されたアドレスにマッピングします。

 

 

1:1 NAT(1対1 NAT)

1:1 NAT(1対1 NAT)は、DNAT または SNAT の特殊なケースです。

この場合、ネットワーク全体のすべてのアドレスが同じネットマスクを持つ別のネットワークのアドレスに 1対1 で変換されます。

したがって、元のネットワークの最初のアドレスが他のネットワークの最初のアドレスに変換され、元のネットワークの2番目のアドレスが他のネットワークの2番目のアドレスに変換されるという様になります。

1:1のNATルールは、送信元アドレスまたは宛先アドレスに適用することができます。

 

 

 

 

NAT ルールの定義方法

NATルールを定義するには、次の手順に従います。

 

1.NATタブで、新規NATルールをクリックします。

NATルールの追加ダイアログボックスが開きます。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

2.次の設定を行います。

グループ:グループオプションを使用すると、ルールを論理的にグループ化できます。

リストの上部にあるドロップダウンリストを使用すると、ルールをグループ別にフィルタできます。

グループ化は表示用のみで、ルールの一致には関係ありません。

新しいグループを作成するには、<< 新規グループ >>エントリを選択し、グループを説明する名前を名前に入力します。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

 

優先順位:ルールの優先順位を定義する位置番号。

番号が小さいほど優先順位が高くなります。

ルールは昇順に照合されます。

あるルールが一致すると、それ以降、それより大きい番号のルールは評価されません。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

ルールタイプ:ネットワークアドレス変換モードを選択します。

選択に応じて、さまざまなオプションが表示されます。

次のモードを使用できます。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

マッチング条件:送信元および宛先ネットワーク/ホストとアドレスを変換するサービスを追加または選択します。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

 

アクション:送信元/宛先、元のIPパケットデータを変換するサービスタイプを追加または選択します。表示されるパラメータは選択されているルールタイプに依存します。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

 

自動ファイアウォールルール(オプション):該当するトラフィックがファイアウォールを通過することを許可するファイアウォールルールを自動的に生成する場合に、このオプションを選択します。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

コメント(オプション):説明などの情報を追加します。

 

3.次の詳細設定を任意で行います。

IPsecパケットにルールを適用(SNATまたはフルNATモードのみ):IPsecで処理するトラフィックにルールを適用する場合にこのオプションを選択します。デフォルトではこのオプションが選択されていないため、IPsecトラフィックがSNATから除外されることになります。

初期パケットのログ(オプション):このオプションは、通信の初期化パケットをファイアウォールログに書き込む場合に選択します。これにより、NATルールを使用する場合はいつでも、ファイアウォールログに「NATを使用する接続」というメッセージが記述されます。このオプションは、ステートフルプロトコルでもステートレスプロトコルでも機能します。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

4.保存をクリックします。

新しいルールがNATリストに表示されます。

5.NATルールを有効にします。

新しいルールはデフォルトで無効になっています(トグルスイッチはグレー表示)。ルールを有効にするには、トグルスイッチをクリックします。
ルールを編集または削除するには、対応するボタンをクリックします。

 

 

 

 

ログの見方

Sophos のログは Sophos 管理画面より表示させることができます。

左側ペインより「ログとレポート」-「ログファイルの閲覧」にアクセスします。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

 

 

 

「ファイアウォール」「ライブログ」ボタンをクリックします。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

 

下図のようにリアルタイムでログが表示されます。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

 

 

 

 

 

Sophos に ssh ログインしてコマンドラインからログを閲覧する手順

Teraterm などを利用して Sophos に ssh でログインして、コマンドラインよりログを閲覧することも可能です。

以下の 2つのアカウントのパスワードを設定します。

パスワードを入力したら「入力されたパスワードを設定」ボタンをクリックします。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

 

 

Teraterm を起動します。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

 

 

Teraterm の新規接続画面が表示されたら「Host」に Sophos のIPアドレスを入力し「OK」ボタンをクリックします。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

 

 

ログイン画面が表示されたら以下のように入力します。

入力したら「OK」ボタンをクリックします。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

 

 

 

ログインできることを確認します。

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

 

 

「/var/log/packetfilter.log」にログが残っています。

loginuser@sophos-test01:/var/log > cd /var/log

loginuser@sophos-test01:/var/log > tail -F packetfilter.log

2018:06:24-18:14:00 sophos-test01 ulogd[4355]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62001" initf="eth0" srcmac="06:b6:c6:d6:23:82" dstmac="06:ac:21:20:62:08" srcip="10.0.1.238" dstip="10.0.2.30" proto="6" length="60" tos="0x00" prec="0x00" ttl="255" srcport="41588" dstport="80" tcpflags="SYN"
2018:06:24-18:14:27 sophos-test01 ulogd[4355]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62001" initf="eth0" srcmac="06:b6:c6:d6:23:82" dstmac="06:ac:21:20:62:08" srcip="10.0.1.219" dstip="10.0.2.30" proto="6" length="60" tos="0x00" prec="0x00" ttl="255" srcport="8070" dstport="80" tcpflags="SYN"
2018:06:24-18:14:28 sophos-test01 ulogd[4355]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62001" initf="eth0" srcmac="06:b6:c6:d6:23:82" dstmac="06:ac:21:20:62:08" srcip="10.0.1.219" dstip="10.0.2.30" proto="6" length="60" tos="0x00" prec="0x00" ttl="255" srcport="8072" dstport="80" tcpflags="SYN"
2018:06:24-18:14:28 sophos-test01 ulogd[4355]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62001" initf="eth0" srcmac="06:b6:c6:d6:23:82" dstmac="06:ac:21:20:62:08" srcip="10.0.1.219" dstip="10.0.2.30" proto="6" length="60" tos="0x00" prec="0x00" ttl="255" srcport="8074" dstport="80" tcpflags="SYN"
2018:06:24-18:14:33 sophos-test01 ulogd[4355]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62001" initf="eth0" srcmac="06:b6:c6:d6:23:82" dstmac="06:ac:21:20:62:08" srcip="10.0.1.219" dstip="10.0.2.30" proto="6" length="60" tos="0x00" prec="0x00" ttl="255" srcport="8080" dstport="80" tcpflags="SYN"
2018:06:24-18:14:33 sophos-test01 ulogd[4355]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62001" initf="eth0" srcmac="06:b6:c6:d6:23:82" dstmac="06:ac:21:20:62:08" srcip="10.0.1.219" dstip="10.0.2.30" proto="6" length="60" tos="0x00" prec="0x00" ttl="255" srcport="8082" dstport="80" tcpflags="SYN"
2018:06:24-18:14:44 sophos-test01 ulogd[4355]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="62001" initf="eth0" srcmac="06:b6:c6:d6:23:82" dstmac="06:ac:21:20:62:08" srcip="10.0.1.238" dstip="10.0.2.30" proto="6" length="60" tos="0x00" prec="0x00" ttl="255" srcport="41648" dstport="80" tcpflags="SYN"

 

 

 

 

 

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)記事一覧

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.1】

 

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.2】

 

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.3】

 

【AWS】AWS で Sophos インストール&設定手順(ELBとWEBサーバ間に配置する)【Part.4】

 

 

 

 

 

Sophos の日本語のマニュアル(管理者ガイド)の探し方

Sophosの詳しい日本語のマニュアル(すべての機能が解説している700ページ近いマニュアル)の探し方です。

迷った時は小まめにマニュアルを読むようにします。

 

 

Sophos 日本語ページにアクセスします。

https://www.sophos.com/ja-jp.aspx

 

【Sophos】Sophosマニュアル(日本語版管理者ガイド)の探し方

 

 

 

 

上のメニュー画面より「サポート」タグをクリックします。

【Sophos】Sophosマニュアル(日本語版管理者ガイド)の探し方

 

 

 

 

下図のように「ドキュメント」タグをクリックします。

【Sophos】Sophosマニュアル(日本語版管理者ガイド)の探し方

 

 

 

 

 

「製品の検索」のプルダウン一覧より「Sophos UTM」を選択します。

【Sophos】Sophosマニュアル(日本語版管理者ガイド)の探し方

 

 

 

 

 

「ソフトウェア UTM 9」より日本語版の管理者ガイドを選択します。

【Sophos】Sophosマニュアル(日本語版管理者ガイド)の探し方

 

 

 

 

 

 

Posted by 100%レンタルサーバーを使いこなすサイト管理人