Firewallの設定は難しい。
大体題意の通りなのですが。
Firewallなら大抵NAT機能なんかも普通についていて、結構頭が良い。
それだけに、設定値をどうすればいいのかみたいなところが、癖みたいなのを知ってないと苦労するような気がする。という話。
とあるFirewallがEOSになるからと、ルータに乗せ換える設計をしていましたが、
FirewallでNATしていると、NAT変換後のIPアドレスをベースにルールを書くのか、NAT変換前のIPアドレスをベースにルールを書くのか
みたいなところにズレが生じたり、ルールを設定できる箇所が違ったり。
なんだかいろいろ面倒だなぁという感じです。
- パケットがインターフェースに着信する。
- 着信インターフェースにてPREROUTINGプロセスが走る
- 着信インターフェースにてINPUTフィルターが動作する
- FORWARDされる
- 発信インターフェースにてOUTPUTフィルターが動作する
- 発信インターフェースにてPOSTROUGINGプロセスが走る
みたいな動作をして NATアドレス変換はPREROUTINGとPOSTROUTINGで行われるので、 イメージ的にはルーティングプロセス内IPアドレスと、実世界IPアドレスみたいなのがあって、 フィルターはルーティングプロセス内IPアドレスに対して行う。 というのが正解なんだけれど、
NATアドレス変換後というか、実世界IPアドレスにてルールを設定するFirewallというのに出会って苦労しました。