# レイヤ3アウトバウンドファイアウォール

### ニーズ・機能紹介 <a href="#the-needs-function-introduction" id="the-needs-function-introduction"></a>

ノートPC、電話、IoT機器など、ますます多くのデバイスがWi-Fi経由でネットワークに接続しています。これだけの無線トラフィックがある中で、特に有線デバイスやインターネットへアクセスしようとする際に、これらのデバイスがどこにアクセスできるかを制御することが非常に重要になっています。

そこでレイヤ3アウトバウンドファイアウォールの出番となります。これにより、ネットワーク管理者は無線クライアントからのアウトバウンドトラフィックをより細かく制御できます。

これらのファイアウォールルールにより、Wi-Fiクライアントから有線LANやインターネットへのトラフィックを許可またはブロックできます。この機能は、無線クライアントから他のネットワークリソースへのアウトバウンドトラフィックを管理し、ネットワークセキュリティを強化するのに役立ちます。

<figure><img src="/files/mS1pSvxTknUzaDBQeKhv" alt=""><figcaption><p>レイヤ3アウトバウンドファイアウォールのルール</p></figcaption></figure>

### 仕組み <a href="#how-it-works" id="how-it-works"></a>

L3ファイアウォールのルールは、無線クライアントから有線LANやインターネットへのアウトバウンドトラフィックを評価するために定義されます。主要な要素は以下の通りです：

* **トップダウン評価**：ファイアウォールルールが上から順に処理されます。
* **ファーストマッチの適用**：トラフィックに最初に一致したルールが適用され、それ以降のルールは無視されます。
* **デフォルトルール**：どのルールにも一致しない場合、デフォルトルールが適用され、デフォルトではすべてのトラフィックが許可されます。
* **ステートレス動作**：L3ファイアウォールのルールはステートレスで、各パケットを独立に評価し、セッション状態や接続履歴は追跡しません。
* **ルール数制限**：各アクセスポイントで最大256件のユーザー定義によるL3ファイアウォールのルールが設定可能です。

### 「プライベートアドレス拒否」設定 <a href="#deny-private-address-setting" id="deny-private-address-setting"></a>

重要なL3ファイアウォールのルールの一つがデフォルトの「プライベートアドレス」ルールです。これにより、無線クライアントがプライベートアドレス範囲内の有線・無線デバイスにアクセスできるかを簡単かつ迅速に制御できます。

このルールの一般的なユースケースは「ゲストSSID」です。プライベートアドレス宛てのトラフィックのポリシーを「許可」から「拒否」に変更することで、ゲストSSIDのクライアントはプライベートアドレスへのアクセスが防止され、インターネットには接続可能となります。この機能はブリッジモードとNATモードの両方で動作します。

このファイアウォールルールにおけるプライベートアドレスとは、RFC1918で定義された以下のIPアドレス空間内の任意の送信先IPアドレスを指します。

* 10.0.0.0/8
* 172.16.0.0/12
* 192.168.0.0/16

<figure><img src="/files/c7t9EjtgfmqDBQf42OH5" alt=""><figcaption></figcaption></figure>

#### プライベートアドレス拒否ルールの設定 <a href="#configuring-the-private-address-deny-rule" id="configuring-the-private-address-deny-rule"></a>

プライベートアドレス拒否ルールの設定手順は以下の通りです：

1. 「**設定**」＞「**アクセスポイント**」＞「**SSID**」を選択し、「**ファイアウォール**」へ進みます。
2. 「**編集**」ボタンをクリックし、「**宛先IPアドレス**」が「**プライベートアドレス**」の行の「**ポリシー**」を「**許可**」から「**拒否**」に変更します。
3. ページ右上の「**適用する**」をクリックして変更を保存します。

{% hint style="info" %}
**重要情報**

SSIDのクライアントがRFC1918のプライベートアドレス空間内の他サブネットにアクセスする必要がある場合は、追加のL3ファイアウォールルールを設定して、それらのサブネットへのトラフィックを許可する必要があります。その際のルールは「プライベートアドレス」ルールより上に配置します。
{% endhint %}

### 設定例 <a href="#example-configuration" id="example-configuration"></a>

10.0.0.0/8のネットワークから192.168.1.0/24のネットワークへのトラフィックをブロックし、その他のインターネットなどのリモートネットワークへのアクセスは許可したい場合を考えます。

<figure><img src="/files/YfOVYtGmX98vDzOlIXi4" alt=""><figcaption></figcaption></figure>

ルール動作例：

* ルール1：10.0.0.0/8から192.168.1.0/24へのトラフィックは、アクションが「拒否」のルールに一致するのでブロックされます。
* ルール2/3：デフォルトルールでその他のトラフィックは許可されるため、ルール1に一致しないトラフィックは許可されます。

結果として、192.168.1.0/24のネットワークへのトラフィックはブロックされ、インターネットや172.16.1.1等の他プライベートアドレスへのトラフィックは許可されます。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.lan.kokomocloud.com/configuring-networks/configuring-access-points/configuring-ssids/layer3-outbound-firewall.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.