ファイアーウォールルールの作成
IaaS API ユーザーズガイド
の以下の箇所を参照してください。
注意: 実際の導入に際しては、所属する組織等のセキュリティポリシーに必ず従い、ルールの作成を行ってください。
参考: ファイアーウォール数、ルール数、ポリシー数に関する制限は、
IaaS 機能説明書
の 「付録 制限値」 ページ内にある 「ネットワークに関する制限値」-「表 8 : ネットワークに関する制限値一覧」 を参照してください。
参考: OpenVPN接続のためのファイアーウォールルール設定例
本ガイドではOpenVPN接続を行うためにSSH(22)とSSL(443)を許可するルールを作成します。
- SSL(443)を許可するルール(SSL-VPN接続のために必要) 注意: ファイアーウォール
- SSL-VPNコネクション作成前にファイアーウォールを作成済の場合
SSL-VPNコネクションへのアクセスを許可するファイアーウォールルール(443/TCP または1194/UDP)が自動的に追加されます(「送信元IPアドレス」は「省略」と設定され、すべてのIPアドレスからの通信が許可されます)
SSL-VPN接続用のファイアーウォールルール名の例:ssl-vpn-connection-343ed159-7248-433d-92dc-ad1ab2bf964c
参考: 必要に応じて「送信元IPアドレス」を指定してください。 - SSL-VPNコネクション作成後にファイアーウォールを作成する場合
SSL-VPN接続のために、以下のルールを手動で追加してください。
表 1. 送信元IPアドレス 送信元ポート番号 宛先IPアドレス 宛先ポート番号 プロトコル SSL-VPNクライアントのIPアドレス 省略 SSL-VPN コネクションリソースのIPアドレス(SSL-VPNコネクションリソースの「internal_gateway」の値) 443または1194(本ガイドでは「443」を設定) *1 tcpまたはudp(本ガイドでは「tcp」を設定) *1 *1: 使用するプロトコル種別に合わせて、以下のように設定する必要があります。
表 2. SSL-VPN接続のプロトコル種別 ファイアーウォールの宛先ポート番号 ファイアーウォールのプロトコル tcp 443 tcp udp 1194 udp
- SSL-VPNコネクション作成前にファイアーウォールを作成済の場合
-
SSL-VPNコネクション通過後の通信のために必要なルール
- SSHで接続する場合
仮想サーバOSとしてCentOS等を導入しSSH接続する場合、以下のルールを作成してください。
表 3. 送信元IPアドレス 送信元ポート番号 宛先IPアドレス 宛先ポート番号 プロトコル SSL-VPNクライアント用のIPプール 省略 接続先サブネットの仮想ネットワークアドレス 22
(SSL-VPN接続通過後の通信プロトコルのポート番号)
SSL-VPN接続通過後の通信プロトコル
例:「TCP」「UDP」「ICMP」
- Windowsリモートデスクトップで接続する場合
仮想サーバOSとしてWindows Serverを導入してリモートデスクトップ接続を使用する場合、以下のルールを作成してください。
表 4. 送信元IPアドレス 送信元ポート番号 宛先IPアドレス 宛先ポート番号 プロトコル SSL-VPNクライアント用のIPプール 省略 接続先サブネットの仮想ネットワークアドレス 3389
(SSL-VPN接続通過後の通信プロトコルのポート番号)
SSL-VPN接続通過後の通信プロトコル
例:「TCP」「UDP」「ICMP」
- SSHで接続する場合
参考:
その他、DNSを利用する場合やLinux系の仮想OSでyumリポジトリなどを利用する場合は、 tcp(53)、tcp(80)、tcp(443)、UDP(53)などの通信を許可するルールを適宜設定してください。