【Check Point R81.10】プロキシ ARP の必要性と設定方法

ファイアウォール(UTM)
スポンサーリンク

作業環境

  • Check Point R81.10
    • VMware 上にインストール

プロキシ ARP とは

プロキシ ARP とは、Check Point 機器自身が持つ IP アドレス以外の IP アドレスに関する ARP リクエストに対して、Check Point 機器が代理で ARP リプライを行う機能です。

NAT アドレスに対する ARP リプライの有無

NAT アドレスに対する ARP リクエストにデフォルトで応答するかどうかは、機器メーカによって異なります。

Check Point の場合は、手動で設定されたスタティック NAT に関しては、NAT アドレスに関する ARP リクエストに対して、デフォルトでは応答を行いません。

そのため以下に記載している条件に合致する場合はプロキシ ARP の設定が必要になります。

プロキシ ARP 設定が必要な場合

以下の条件をすべて満たす場合、Check Point 機器でプロキシ ARP を設定する必要があります。

プロキシ ARP が必要になる条件
  • スタティック NAT を手動で設定している
  • そのスタティック NAT によって、check Point 機器のインターフェースアドレスと同じセグメント内の IP アドレス 宛のパケットを宛先 NAT する

この条件に合致し、かつプロキシ ARP を設定していない場合、変換前宛先アドレスに対する ARP リクエストに応答する機器が存在しない状態になるため、ARP リクエストをした機器が ARP 解決をできずに通信が失敗します。

プロキシ ARP の設定方法

Check Point 機器でのプロキシ ARP 設定方法はバージョンによって異なります。R81.10 では Gaia ポータルか、または CLI の設定コマンドで設定できますが、R77.10 より前のバージョンの場合は CLI で設定ファイルを編集する必要があります。ここでは R81.10 での設定方法についてのみ記載します。

プロキシ ARP エントリの追加

Gaia ポータルの [Network Management > ARP] 画面を開き、[Proxy ARP] 欄の [Add] をクリックします。

以下の画面が表示されるため、各項目を設定して [Save] をクリックします。

  • IPv4 Address: ARP リクエスト応答対象の IP アドレスを入力
  • Advertise IP via: ARP リプライするインターフェースを指定
    • Interface Name
      • インターフェース名で指定する場合は対象のインターフェースを指定
    • MAC Address
      • MAC アドレスで指定する場合は対象インターフェースの MAC アドレスを入力
  • Cluster related configuration
    • Real IP Address
      • クラスタ構成の場合のみ ARP リプライするインターフェースの実 IP アドレスを入力

一度設定したプロキシ ARP エントリは編集できないため、設定を修正する場合は一度対象エントリを削除してから新たにエントリを追加します。

CLI で設定する場合は、add arp proxy ... コマンドで設定します。上の Gaia ポータルでの設定例と同じ設定をする場合は以下のコマンドになります。

add arp proxy ipv4-address 192.168.247.111 interface eth1 real-ipv4-address 192.168.247.40

SmartConsole でのグローバルプロパティ設定

プロキシ ARP を使用する場合、SmartConsole でグローバルプロパティを設定変更する必要があります。

SmartConsole のメニューから [Global properties…] を選択します。

[NAT – Network Address Translation] 画面を開き、[Merge manual proxy ARP configuration] にチェックを入れます。これはデフォルトでは OFF になっています。

ポリシーインストールの実行

プロキシ ARP 自体は Gaia OS の設定ですが、実際に動作に反映させるためにはポリシーインストールを行う必要があります。そのため、プロキシ ARP の設定を変更した後はポリシーインストールを行ってください。

プロキシ ARP 設定の確認

fw ctl arp コマンドでインストールされているプロキシ ARP 設定の確認ができます。

CP8110-01> fw ctl arp
 (192.168.247.111) at 00-0c-29-6a-1d-0a interface 192.168.247.40

設定したプロキシ ARP のエントリが表示されることを確認してください。

以下のように No proxy ARP entries と表示される場合は、ポリシーインストールをしていないか、上に記載しているグローバルプロパティの設定がされていない可能性があるため確認してください。

CP8110-01> fw ctl arp
No proxy ARP entries

なお、show arp proxy all というコマンドもありますが、こちらは Gaia OS の設定内容に基づいて表示されるため、ポリシーインストールされているかどうかの確認には使えません。

CP8110-01> show arp proxy all
IP Address              MAC Address / Interface         Real IP Address
192.168.247.111         eth1                            192.168.247.40

プロキシ ARP 動作確認

以下の構成でプロキシ ARP を設定して動作確認してみます。

  • 端末及び Check Point の eth1 が所属するセグメント内のアドレス 192.168.247.111 宛に端末から Ping を実行した場合、Check Point にて宛先 NAT されてインターネット上の 8.8.8.8 に疎通できるように、スタティック NAT 及びプロキシ ARP を設定しています

端末から 192.168.247.111 宛に Ping をしてみます。

C:\Windows\system32>ping 192.168.247.111

192.168.247.111 に ping を送信しています 32 バイトのデータ:
192.168.247.111 からの応答: バイト数 =32 時間 =91ms TTL=111
192.168.247.111 からの応答: バイト数 =32 時間 =52ms TTL=111
192.168.247.111 からの応答: バイト数 =32 時間 =48ms TTL=111
192.168.247.111 からの応答: バイト数 =32 時間 =52ms TTL=111

このときの ARP パケットをキャプチャしてみると、ARP 応答の送信元 MAC がプロキシ ARP 設定の通り Check Point のインターフェースの MAC になっていることが分かります。

CP8110-01> fw ctl arp
 (192.168.247.111) at 00-0c-29-6a-1d-0a interface 192.168.247.40

参考資料

Configuring Proxy ARP for Manual NAT
After creating a Manual Static NAT rule, Security Gateway does not answer the ARP Requests for the Static NATed IP address that was configured in the Manual NA...


タイトルとURLをコピーしました