JP1/NETM/DMで使用できるファイアウォールには，次の方式があります。

• パケットフィルタリング方式
• アプリケーションゲートウェイ方式

(a)　パケットフィルタリング方式ファイアウォール

設定によってファイアウォールを通過するパケットを制限する，ファイアウォール実現方式の一つです。代表的な製品は，Firewall-1です。

パケットフィルタリング方式のファイアウォールの場合は，該当するノードのIPアドレスとポート番号を設定することで，JP1/NETM/DMが使用できるようになります。

(b)　アプリケーションゲートウェイ方式ファイアウォール

パケットの中継を禁止し，アプリケーションゲートウェイでアクセスを制御する，ファイアウォール実現方式の一つです。代表的な製品は，Gauntletです。

アプリケーションゲートウェイ方式のファイアウォールの場合は，ゲートウェイでアプリケーションごとにアクセスを制御するので，JP1/NETM/DMをアクセス可能なアプリケーションに設定する必要があります。

Gauntletの場合は，仮想プライベートネットワーク（VPN）機能を使用することによって，JP1/NETM/DMをアクセス可能なアプリケーションにします。

NAT機能とは，外部ネットワークから内部ネットワークのアドレスが見えないように，また内部ネットワークのアドレスが外部に漏れないようにするための機能です。

アドレス変換の方式には，次の2種類があります。

• 固定アドレス割り当て方式
• 動的アドレス割り当て方式

JP1/NETM/DMで使用できるのは，「固定アドレス割り当て方式（STATICモード）」だけです。

ファイアウォール環境でJP1/NETM/DMを使用する場合，ファイアウォールにポート番号を設定する必要があります。

次にJP1/NETM/DMで使用するポート番号を示します。

表6-2　JP1/NETM/DMで使用するポート番号

通信区間	ポート番号	プロトコル	発信側情報	着信側情報
マネージャ/中継システム間	30002（udp/tcpを選択※1）	udp	マネージャ：Ephemeral	中継システム：30002
			中継システム：Ephemeral	マネージャ：30002
		tcp	マネージャ：Ephemeral	中継システム：30002
			中継システム：30002	マネージャ：Ephemeral
	30000	tcp	マネージャ：30000	中継システム：Ephemeral
			中継システム：Ephemeral	マネージャ：30000
中継システム/クライアント間	30002（udp/tcpを選択※1）	udp	中継システム：Ephemeral	クライアント：30002
			クライアント：Ephemeral	中継システム：30002
		tcp	中継システム：Ephemeral	クライアント：30002
			クライアント：30002	中継システム：Ephemeral
	30001	tcp	中継システム：30001	クライアント：Ephemeral
			クライアント：Ephemeral	中継システム：30001
マネージャ/クライアント間	30002（udp/tcpを選択※1）	udp	マネージャ：Ephemeral	クライアント：30002
			クライアント：Ephemeral	マネージャ：30002
		tcp	マネージャ：Ephemeral	クライアント：30002
			クライアント：30002	マネージャ：Ephemeral
	30000	tcp	マネージャ：30000	クライアント：Ephemeral
			クライアント：Ephemeral	マネージャ：30000
サーバ本体機能/リモートインストールマネージャ間※2	30001	tcp	リモートインストールマネージャ：Ephemeral	サーバ本体機能：30001
	30000	tcp	リモートインストールマネージャ：Ephemeral	サーバ本体機能：30000

注　Ephemeralポートは，通常1024〜5000の中からTCP/IPの自動割り当て範囲内の空きポート番号となります。

注※1　JP1/NETM/DM Managerの設定によってudpまたはtcpのどちらかを選択します。

注※2　「サーバ本体機能」と「リモートインストールマネージャ」を別のPCにインストールした場合が該当します。

Embedded RDBを使用している場合に，「サーバ本体機能」と「リモートインストールマネージャ」を別のPCにインストールしたとき，これらの通信には次の表に示すポートが使用されます。

表6-3　「サーバ本体機能」と「リモートインストールマネージャ」間の通信で使用されるポート番号（Embedded RDBを使用している場合）

通信区間	ポート番号	プロトコル	発信側情報	着信側情報
サーバ本体機能/リモートインストールマネージャ間	30000	tcp	リモートインストールマネージャ：Ephemeral	サーバ本体機能：30000
	30001	tcp	リモートインストールマネージャ：Ephemeral	サーバ本体機能：30001
	30008	tcp	リモートインストールマネージャ：Ephemeral	サーバ本体機能：30008
	Ephemeral（データベースのクライアント接続）	tcp	リモートインストールマネージャ：Ephemeral	サーバ本体機能：Ephemeral
		tcp	サーバ本体機能：Ephemeral	リモートインストールマネージャ：Ephemeral

注　Ephemeralポートは，通常1024〜5000の中からTCP/IPの自動割り当て範囲内の空きポート番号となります。

ファイアウォールを挟んだ環境では，着信側にファイアウォールの通過を設定する必要があります。発信側でのポート設定は不要です。ファイアウォールの通過の設定方法を次に説明します。

(a)　「サーバ本体機能」をインストールしたPC側にファイアウォールがある場合の設定

「サーバ本体機能」をインストールしたPC側にファイアウォールがある場合，次に示すポートはファイアウォールを通過させる必要があります。

• サーバ本体機能とリモートインストールマネージャ間の通信用ポート
  30000と30001です。
  
• データベース接続用のポート
  セットアップの［データベース環境］パネルで設定したポート番号です。デフォルトは30008です。
  
• データベースのクライアント接続用ポート
  デフォルトではOSが自動でポート番号を割り当てます。そのため，使用するポート番号を固定してから，ファイアウォールの通過を設定する必要があります。
  データベースのクライアント接続用ポートのポート番号を固定する手順を次に示します。
  
  1. ［コントロールパネル］の［管理ツール］−［サービス］で，「Remote Install Server」サービスを停止する。
  2. JP1/NETM/DM Managerのインストール先ディレクトリ\BINに格納されているnetmdb_stop.batコマンドを実行してデータベースを停止する。
     netmdb_stop.batコマンドの終了時は，キー入力待ちの状態になります。キー入力なしでコマンドを終了させたい場合は，オプションに「/nopause」を指定してコマンドを実行してください。
     
  3. JP1/NETM/DMのインストール先ディレクトリ\NETMDB\confに格納されているpdsysファイルをテキストエディタで開く。
  4. 「#set pd_service_port = 30009」の先頭の「#」を削除する。
     デフォルトのポート番号は30009です。
     使用するポート番号を変更する場合は，「30009」の部分を変更してください。
     
  5. JP1/NETM/DM Managerのインストール先ディレクトリ\BINに格納されているnetmdb_start.batを実行してデータベースを開始する。
     netmdb_start.batコマンドの終了時は，キー入力待ちの状態になります。キー入力なしでコマンドを終了させたい場合は，オプションに「/nopause」を指定してコマンドを実行してください。
     
  6. ［コントロールパネル］の［管理ツール］−［サービス］で，「Remote Install Server」サービスを開始する。
  この設定をしたあと，JP1/NETM/DMが使用するポート番号は次のようになります。
  

  通信区間	ポート番号	プロトコル	発信側情報	着信側情報
  サーバ本体機能/リモートインストールマネージャ間	Ephemeral（データベースのクライアント接続）	tcp	リモートインストールマネージャ：Ephemeral	サーバ本体機能：30009※

  注※　ポート番号に30009（デフォルト）を設定した場合。

  
  

(b)　「リモートインストールマネージャ」をインストールしたPC側にファイアウォールがある場合の設定

「リモートインストールマネージャ」をインストールしたPC側にファイアウォールがある場合，データベースのクライアントで使用される受信用ポートはファイアウォールを通過させる必要があります。

データベースのクライアントの受信用ポートは，デフォルトではOSが自動でポート番号を割り当てます。なお，受信用ポートは10個以上使用されます。そのため，受信用ポートに使用されるポート番号の範囲を固定して，ファイアウォールの通過を設定する必要があります。

受信用ポートに使用するポート番号の範囲を固定する手順を次に示します。

1. リモートインストールマネージャおよびその他のJP1/NETM/DMアプリケーションを停止する。
2. JP1/NETM/DM Managerのインストール先ディレクトリ\NETMDBCLTに格納されているHiRDB.iniをテキストエディタで開く。
   「サーバ本体機能」もインストールされている場合，HiRDB.iniはインストール先ディレクトリ\NETMDB\CONF\embに格納されています。
   
3. 「PDCLTRCVPORT=」に使用するポート番号の範囲を指定する。
   PDCLTRCVPORT=のあとに，使用するポート番号の範囲を「ポート番号-ポート番号」の形式で指定します。
   

   （例）使用するポート番号の範囲に10000〜10500を指定する場合

   PDCLTRCVPORT=10000-10500

   なお，PDCLTRCVPORT=のあとに何も指定しないか「0」を指定した場合，使用するポート番号の範囲は設定されません。デフォルトでは，使用するポート番号の範囲は設定されていません。
   
4. リモートインストールマネージャおよびその他のJP1/NETM/DMアプリケーションを起動する。

この設定をしたあと，JP1/NETM/DMが使用するポート番号は次のようになります。

通信区間	ポート番号	プロトコル	発信側情報	着信側情報
サーバ本体機能/リモートインストールマネージャ間	Ephemeral（データベースのクライアント接続）	tcp	サーバ本体機能：Ephemeral	リモートインストールマネージャ：10000〜10500※

注※　ポート番号の範囲に10000〜10500を設定した場合。

データベースのクライアントで使用するポート番号を固定する場合の注意事項を次に示します。

• 指定した範囲に空いているポート番号がない場合はエラーとなります。
  データベースのクライアント以外のプログラムが使用するポート番号を含む範囲を指定した場合，ポート番号の割り当てが競合することがあります。使用できるポート番号が不足しないように，ポート番号の範囲を指定してください。
  
• 指定するポート番号の範囲は，OSが自動で割り当てるポート番号の範囲と重複しないようにしてください。なお，OSが自動で割り当てるポート番号の範囲は，OSごとに異なります。
• 指定するポート番号の範囲は，実際に使用されるポート番号の数に対して20%程度の余裕を持たせてください。余裕がないと，空いているポート番号を探す処理で効率が低下します。
• データベースのクライアント以外のプログラムが使用しているポート番号は，データベースのクライアントでは使用できません。また，データベースのクライアントが使用しているポート番号は，データベースのクライアント以外のプログラムでは使用できません。
  指定した範囲内のポート番号を固定して使用するプログラムがある場合，そのプログラムは起動できなくなることがあります。
  
• データベースのクライアント用にファイアウォールを通過できるよう設定されたポート番号が，データベースのクライアント以外のプログラムから不正に使用されないように，ファイアウォールの内側のプログラムを管理してください。

ファイアウォールを使用した場合の注意事項を次に示します。

• ファイアウォール内に中継システムを設置するとファイアウォールに定義するノードの数を減らすことができます。
  

  図6-2　ファイアウォール内に中継システムを設置する場合の構成例

  

• JP1/NETM/DMでは運用キー（ノードを識別するキー情報）にホスト名，IPアドレス，ホスト識別子を使用します。JP1/NETM/DMでは，運用キーに対して作成したジョブを引き当てます。このためNAT機能を使用した場合は，アドレス変換されてしまうため，該当するクライアントに対してジョブが引き当てられなくなります。この現象は，JP1/NETM/DM Managerから見たJP1/NETM/DM Client（クライアント）のIPアドレスと実際のJP1/NETM/DM Client（クライアント）のIPアドレスがNAT機能によって異なってしまうことに原因があります。したがって，NAT機能を使用した環境では運用キーにIPアドレスを使用できません。
• JP1/NETM/DMのシステム構成の自動登録機能は，運用キーに関係なく，プロトコルにIPアドレスが付与されます。このためシステム構成の自動登録機能を使用するとプロトコルに付与されたIPアドレスが外部に漏れるおそれがあります。ファイアウォールを使用する場合は，システム構成の自動登録機能は使用しない運用をお勧めします。
• IPアドレス運用では，プロトコルにIPアドレスが付与されます。このため，IPアドレス運用を使用するとプロトコルに付与されたIPアドレスが外部に漏れるおそれがあります。したがってファイアウォールを使用する場合は，IPアドレス運用を使用しないことをお勧めします。