ファイアーウォールルールの作成

注意: 実際の導入に際しては、所属する組織等のセキュリティポリシーに必ず従い、ルールの作成を行ってください。
参考: ファイアーウォール数、ルール数、ポリシー数に関する制限は、 IaaS 機能説明書 「付録 制限値」 ページ内にある 「ネットワークに関する制限値」-「表 8 : ネットワークに関する制限値一覧」 を参照してください。
参考: OpenVPN接続のためのファイアーウォールルール設定例

本ガイドではOpenVPN接続を行うためにSSH(22)とSSL(443)を許可するルールを作成します。

  1. SSL(443)を許可するルール(SSL-VPN接続のために必要)
    注意: ファイアーウォール
    • SSL-VPNコネクション作成前にファイアーウォールを作成済の場合

      SSL-VPNコネクションへのアクセスを許可するファイアーウォールルール(443/TCP または1194/UDP)が自動的に追加されます(「送信元IPアドレス」は「省略」と設定され、すべてのIPアドレスからの通信が許可されます)

      SSL-VPN接続用のファイアーウォールルール名の例:ssl-vpn-connection-343ed159-7248-433d-92dc-ad1ab2bf964c

      参考: 必要に応じて「送信元IPアドレス」を指定してください。
    • SSL-VPNコネクション作成後にファイアーウォールを作成する場合

      SSL-VPN接続のために、以下のルールを手動で追加してください。

      表 1.
      送信元IPアドレス 送信元ポート番号 宛先IPアドレス 宛先ポート番号 プロトコル
      SSL-VPNクライアントのIPアドレス 省略 SSL-VPN コネクションリソースのIPアドレス(SSL-VPNコネクションリソースの「internal_gateway」の値) 443または1194(本ガイドでは「443」を設定) *1 tcpまたはudp(本ガイドでは「tcp」を設定) *1

      *1: 使用するプロトコル種別に合わせて、以下のように設定する必要があります。

      表 2.
      SSL-VPN接続のプロトコル種別 ファイアーウォールの宛先ポート番号 ファイアーウォールのプロトコル
      tcp 443 tcp
      udp 1194 udp
  2. SSL-VPNコネクション通過後の通信のために必要なルール
    • SSHで接続する場合

      仮想サーバOSとしてCentOS等を導入しSSH接続する場合、以下のルールを作成してください。

      表 3.
      送信元IPアドレス 送信元ポート番号 宛先IPアドレス 宛先ポート番号 プロトコル
      SSL-VPNクライアント用のIPプール 省略 接続先サブネットの仮想ネットワークアドレス

      22

      (SSL-VPN接続通過後の通信プロトコルのポート番号)

      SSL-VPN接続通過後の通信プロトコル

      例:「TCP」「UDP」「ICMP」

    • Windowsリモートデスクトップで接続する場合

      仮想サーバOSとしてWindows Serverを導入してリモートデスクトップ接続を使用する場合、以下のルールを作成してください。

      表 4.
      送信元IPアドレス 送信元ポート番号 宛先IPアドレス 宛先ポート番号 プロトコル
      SSL-VPNクライアント用のIPプール 省略 接続先サブネットの仮想ネットワークアドレス

      3389

      (SSL-VPN接続通過後の通信プロトコルのポート番号)

      SSL-VPN接続通過後の通信プロトコル

      例:「TCP」「UDP」「ICMP」

参考:

その他、DNSを利用する場合やLinux系の仮想OSでyumリポジトリなどを利用する場合は、 tcp(53)、tcp(80)、tcp(443)、UDP(53)などの通信を許可するルールを適宜設定してください。