ヤマハルータの基本的なフィルタ設定

ヤマハRT/RTXの 基本的な接続設定 は完了してもやはりフィルタ設定をしないと外部からの侵入に対して無力になります。
ヤマハルータ RT/RTXでは、静的フィルタ、動的フィルタ、不正アクセス検知でファイアーウォール機能を構成しています。
ネットワーク構成は以下の様になっているものとして基本的なフィルタ設定について解説しています。
当方の環境は YAMAHA RTX1000 を例にとって手順を説明していますが、RT57i , RT58i , RTX1100 , RTX1200 , RTX810 , RTX1210 でも設定は同じだと思います。
# RT系のフィルタ高の設定をコマンドラインベースで行っているだけですが(^^; 

インターネット
       |
       |
 +------------+
 |ADSLモデム等|
 +------------+
       |
  +---------+
  | RTX1000 |
  +---------+
  LAN1 | .1
       |
 --+---+---+----- 192.168.0.0/24
   |       |

静的フィルタの定義

静的フィルタとして以下の定義をします。
※フィルタ番号はあくまでも私の環境で適用した番号であり、利用する環境によって異なります。

(1) LAN側(LAN1)のフィルタ

# WindowsのNetBiosなどを遮断するフィルタの定義
ip filter 100000 reject * * udp,tcp 135 *
ip filter 100001 reject * * udp,tcp * 135
ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100004 reject * * udp,tcp netbios_ssn *
ip filter 100005 reject * * udp,tcp * netbios_ssn
ip filter 100006 reject * * udp,tcp 445 *
ip filter 100007 reject * * udp,tcp * 445
ip filter 100099 pass * * * * *
(2) WAN側(LAN2)のフィルタ 
# LAN側のIPアドレスを送信元で詐称している通信のフィルタの定義
# 200000,200001,200002は一般的にいわれるプライベートIPの遮断フィルタです。
# 200003は利用するネットワークアドレスを定義します。
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.0.0/24 * * * *
# LAN側のIPを宛先としてWAN側からくる通信を遮断するフィルタ
# 200004,200005,200006は一般的にいわれるプライベートIPの遮断フィルタです。
# 200007は利用するネットワークアドレスを定義します。
ip filter 200004 reject * 10.0.0.0/8 * * *
ip filter 200005 reject * 172.16.0.0/12 * * *
ip filter 200006 reject * 192.168.0.0/16 * * *
ip filter 200007 reject * 192.168.0.0/24 * * *
# WindowsのNetBiosなどを遮断するフィルタの定義
ip filter 200008 reject * * udp,tcp 135 *
ip filter 200009 reject * * udp,tcp * 135
ip filter 200010 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200011 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200012 reject * * udp,tcp 445 *
ip filter 200013 reject * * udp,tcp * 445
# ICMP,ident等、WAN側から最低限応答するプロトコルの指定
ip filter 200014 pass * * icmp * *
ip filter 200015 pass * * established * *
ip filter 200016 pass * * tcp * ident
# フィルタで遮断しない通信を明示的に通過させる定義
# 利用しなくともこの定義は作っておきましょう。
ip filter 200099 pass * * * *

動的フィルタの定義

静的フィルタは通信の通過、拒否を判断しますが、動的フィルタは指定した種類の通信があるときのみ穴をあけ、通信が完了すると穴を閉じる動的なフィルタをいいます。

動的フィルタとして以下の定義をします。
※フィルタ番号はあくまでも私の環境で適用した番号であり、利用する環境によって異なります。 

ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * telnet
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp

フィルタの適用

静的、動的フィルタを定義しましたが実際、適用しなければ有効となりません。
定義したフィルタを以下のように適用します。 

# LAN側からWAN側への通信の定義
# これでWindowsのNetBios等が遮断されます。
ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100099
# WAN側からLAN側への通信の定義
# 2行にわたって記述していますがもちろん1行で記入してください。
ip pp secure filter in 200000 200001 200002 200003 200008 200009 200010 
 200011 200012 200013 200014 200015 200016
# LAN側からWAN側への通信の定義
# 動的フィルタの適用により内部からの通信の戻りを許可しています。
# 3行にわたって記述していますがもちろん1行で記入してください。
ip pp secure filter out 200004 200005 200006 200007 200008 200009 200010
 200011 200012 200013 200099 dynamic 200080 200081 200082 200083 200084 
 200085 200098 200099

ここでは、接続がPPPoEということでの定義ですが専用線など直接LAN2にIPの定義がある場合はppという定義は lan2 として置き換えてください。

不正アクセス検知の定義

ヤマハRT/RTXには不正アクセス検知というすばらしい機能があります。
どのように機能するのかわかりませんが一応定義しておいて損はないでしょう。 

ip pp intrusion detection in on reject=on
ip pp intrusion detection out on reject=on

こちらも、専用線接続の場合は lan2 と置き換えて定義してください。

これで基本的なフィルタの定義は完了です。

marronおすすめの参考書 by Amazon
ヤマハルーター運用設定マニュアル ヤマハルーター運用設定マニュアル RTX1200/ SRT100のGUI&コマンドラインの実践
住商情報システム株式会社 協力 (監修), ネットワークマガジン編集部 (編集)
ヤマハルータコマンドリファレンス ヤマハルータコマンドリファレンス
毎日コミュニケーションズ / 井上 孝司
¥ 2,940
ヤマハルータでつくるインターネットVPN ヤマハルータでつくるインターネットVPN
毎日コミュニケーションズ / 井上 孝司
ヤマハルータでつくるインターネットVPN ヤマハルータでつくるインターネットVPN
毎日コミュニケーションズ / 井上 孝司

Copyright(C) 2004-2006 マロンくん.NET ~サーバ管理者への道~ All Rights. Reserved.