前回、Endian Firewall Community 3.3.2をHyper-V上にインストールしました。
前回のインストールはルータモードでセットアップを行いましたが、今回はブリッジモードでセットアップを行っていきます。
期待する目標
本手順で期待する目標は以下の通りです。
- Endian Firewall Communityをインストールできる
- Endian Firewall Communityでブリッジモードのセットアップができる
前提条件
本手順で使用する環境は以下の通りです。
- CPU : 2vCPU
- MEM : 4GB
- DISK : 40GB
- NIC1 : 192.168.100.246 (LAN)
- NIC2 : (設定なし)
- Mode : ブリッジモード
ブリッジモードの注意点
Firewallを導入する際は、比較的ルータモードとして使用することが多いと思われますが、既存機器の配置を変更したくないなどの理由から、ブリッジモードを使用する場合があります。
ルータモードとして使用する場合、既存ルータの置き換え等でFirewallを置く場合がありますが、この場合は既存のルーティングを踏襲するような形でFirewallを配置すれば大きな問題は起こりません。
ブリッジモードで使用する際は、ルータとスイッチの間に配置します。
その際に、NIC1は内部(スイッチ側)にIPを持たせることで、管理画面へのアクセスができるようになります。正確に言うと、EFWをブリッジモードで設定すると、L2スイッチのような挙動をするため、NICに紐づくIPアドレスという概念が無くなります。(データリンク層での通信のような挙動になります。)
そのため、NIC対し、IPアドレスの設定は不要です。
今回のケースでは、NIC1に対し管理用の画面にアクセスするインターフェースとしてIPアドレスを設定していますが、実際にNICに対しIPアドレスの設定をしなくても通信の制御は可能です。
また、L2での動作となりますので、スイッチ-ルータ間にEFWを入れる必要がありますが、EFWを迂回するようなルートが存在する場合、Firewallとしての機能が半減する可能性があるので注意してください。
Endian Firewall インストール
インストール手順につきましては、以下の記事で解説をしているので、そちらをご覧ください。
ブリッジモードの初期セットアップ
Endian Firewallのインストールが完了し、ブラウザから管理IPアドレスにアクセスします。
Endian Firewallの管理画面のURLは以下の通りです。
URL : https://<EFWのIP>:10443
[ネットワークモードとアップリンク種別を選択]より、[ブリッジモード]を選択します。
ブリッジモードを選択すると、アップリンク情報が消えるので、[>>>]を押下します。
[ネットワークゾーンを選択]では、サーバのセグメントやWiFiのセグメントを設定できますが、後からでも設定変更ができそうなので、今回はスキップします。
[なし]を選択し、[>>>]を押下します。
[ネットワーク設定]では、以下の設定を行います。
- このゾーンでDHCPサーバを有効にする : □ (任意)
- IPアドレス : EFWに設定するIPアドレス
- ネットマスク : 設定したIPアドレスに対するサブネットマスクを設定
- インターフェース : GREEN側(LAN側)のNICを選択
- ホスト名 : EFWの任意のホスト名を設定
- ドメイン : 任意
DHCPサーバについては、ネットワーク内にDHCPサーバが存在するため、無効にしています。
また、インターフェースについては、LAN側につないでいるNICを選択します。
設定が完了したら、[>>>]を押下します。
[インターネットアクセスの設定]より、以下の設定を行います。
- インターフェース : Outgoing(ルータ側)のNICを選択
- デフォルトゲートウェイ : LAN内のデフォルトゲートウェイを設定
インターフェースについては、ルータ側のNICを選択します。
デフォルトゲートウェイについては、ネットワーク内のデフォルトゲートウェイを設定します。
設定が完了したら、[>>>]を押下します。
[DNSサーバの設定]では、DNSサーバの設定を行います。
2カ所のDNSサーバを設定できますが、片方でも問題はありません。(DNSの構造上2カ所以上設定することを推奨)
ここで設定するDNSサーバはネットワーク内から参照可能なDNSを指定してください。
設定が完了したら、[>>>]を押下します。
[デフォルトの管理者メールアドレスの設定]では、以下の設定を行います。
- 管理者メールアドレス : 管理者のメールアドレスを設定
- 送信者メールアドレス : 送信元のメールアドレスを設定
- スマートホストのアドレス : 不明
設定が完了したら[>>>]を押下します。
[設定の適用]より、[設定を適用]を押下します。
[終了]画面が表示されたら、設定後のページにリダイレクトされるため、待機します。
設定の適用後、リダイレクトされると、ユーザ認証が入るためログインします。
ログイン後、[Endian Firewall Community登録]画面が表示されるため、必要に応じてメールアドレスを入力し、[登録]を押下します。
どうしてもメールアドレスを入力したくない場合は、アップデートを受け取る権利を放棄することに同意し、[アップデートを行わない]を押下します。
設定完了後、ダッシュボードが表示されたら、ブリッジモードでの設定は完了です。
まとめ
今回は、Endian Firewall Communityをブリッジモードで設定してみました。
Endian Firewallについては、ルーターモードとブリッジモードの切り替えが簡単にできるので、仮に導入してみて、使用するモードが違うかなーと思ったら、モードを変更してみるのもよいと思います。
Firewallなどは、構成変更せずに使用したい場面も多いため、ブリッジモードで設定する際の注意点なども少し解説として入れました。
実際にルーターモードとブリッジモードのどちらで入れるかは要件や環境によりけりなので、どちらが良いというのはありませんが、ブリッジモードで設定すると一部の機能が使えない場合が多いので、ポン付けで設置が可能だからと言ってそれが最適解ではないということを頭の片隅に置いたうえで導入しましょう。
特にFirewallについては、そこが境界になることが多いので、Firewallを導入する際には、ネットワーク自体の再設計が必要か?まで一度立ち戻って導入を検討したほうが今後良い結果が出るかもしれません。
既存ネットワークを変更せずにFirewallを導入したいという甘いうたい文句でブリッジFirewallを導入したは良いが、ネットワークの設計が古く、Firewallを導入したことで思わぬ抜け穴ができたなんてこともあり得るので、ブリッジにするからと言ってネットワークの最適化設計は飛ばさない方が賢明だと思います。
おまけ
本ブログではVMwareやWindows、Linuxのインストール手順等も公開しております。
インフラエンジニアとして有益な記事や無益なコンテンツも作成しておりますので、通勤時間や休憩時間、休日のスキマ時間等に合わせて読んでいただけると幸いです。
また、Youtubeで解説動画も鋭意作成中です。本ブログで記事にしているものも動画にしようと思っておりますので、よろしくお願いいたします。
willserverのnoteも開設したのでフォローお願いします。
コメント