痛い目にあったウィルスどもをシャットアウト!
YAMAHAルーターのIPパケット・フィルタ設定について、勉強を始めた。
YAMAHA RTシリーズのIPパケット・フィルタ(よくある質問とその答え)
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/
ファイヤウォール機能
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
LANにFTPサーバがあり、これを公開するほかは、外側からのアクセスは受け付けないものとします。また、LANから外側へのアクセスとしてHTTPを通過させるものとします。
まず、静的フィルタを設定します。とりあえず、FTPサーバは忘れて、外側からのパケットをすべて破棄します。
# ip filter 100 reject * * * * *
# pp select 1
# ip pp secure filter in 100
内側からのアクセスとしてHTTPだけを通します。先ほど説明したように、トリガーのコネクションの最初のパケットだけは静的フィルタで通す必要があります。そこで、次のように静的フィルタを設定します。
# ip filter 90 pass 172.16.1.0/28 * tcpflag=0x0002/0x0fff * www
# pp select 1
# ip pp secure filter out 90
tcpflagの部分は、 TCPのパケットのうちSYNフラグだけが立っているパケットを表します。このフィルタによって、コネクションの最初のパケットだけを通すことができます。
※ リビジョンによっては、tcpflagを設定できないものもあります。その場合には、次のように2行に分けることで同様の効果を得ることができます。
# ip filter 90 reject 172.16.1.0/28 * established * www
# ip filter 91 pass 172.16.1.0/28 * tcp * www
# pp select 1
# ip pp secure filter out 90 91
※ UDPの場合には、SYNのようなフラグで判断することはできないので、プロトコルの欄は単に「udp」となります。
# ip filter 92 pass 172.16.1.0/28 * udp * domain
次にHTTPを通すための動的フィルタを追加します。ここまでの設定と合わせると、次のようになります。
# ip filter 90 pass 172.16.1.0/28 * tcpflag=0x0002/0x0fff * www
# ip filter 100 reject * * * * *
# ip filter dynamic 1 172.16.1.0/28 * www
# pp select 1
# ip pp secure filter in 100
# ip pp secure filter out 90 dynamic 1
次に、FTPサーバを公開するためのフィルタを追加します。まず、トリガーのコネクションの最初のパケットを通すために次の静的フィルタを追加します。
# ip filter 80 pass * 172.16.1.0/28 tcpflag=0x0002/0x0fff * 21
# pp select 1
# ip pp secure filter in 80 100
最後に、FTPを通す動的フィルタを追加します。全体をまとめると次のようになります。
# ip filter 80 pass * 172.16.1.0/28 tcpflag=0x0002/0x0fff * 21
# ip filter 90 pass 172.16.1.0/28 * tcpflag=0x0002/0x0fff * www
# ip filter 100 reject * * * * *
# ip filter dynamic 1 172.16.1.0/28 * www
# ip filter dynamic 2 * 172.16.1.0/28 ftp
# pp select 1
# ip pp secure filter in 80 100 dynamic 2
# ip pp secure filter out 90 dynamic 1
なお、内側のホストを信頼できる場合には、 90番のフィルタのtcpflagを単にtcpとしてもかまいません。
YAMAHAルーターのIPパケット・フィルタ設定について、勉強を始めた。
YAMAHA RTシリーズのIPパケット・フィルタ(よくある質問とその答え)
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/
ファイヤウォール機能
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
LANにFTPサーバがあり、これを公開するほかは、外側からのアクセスは受け付けないものとします。また、LANから外側へのアクセスとしてHTTPを通過させるものとします。
まず、静的フィルタを設定します。とりあえず、FTPサーバは忘れて、外側からのパケットをすべて破棄します。
# ip filter 100 reject * * * * *
# pp select 1
# ip pp secure filter in 100
内側からのアクセスとしてHTTPだけを通します。先ほど説明したように、トリガーのコネクションの最初のパケットだけは静的フィルタで通す必要があります。そこで、次のように静的フィルタを設定します。
# ip filter 90 pass 172.16.1.0/28 * tcpflag=0x0002/0x0fff * www
# pp select 1
# ip pp secure filter out 90
tcpflagの部分は、 TCPのパケットのうちSYNフラグだけが立っているパケットを表します。このフィルタによって、コネクションの最初のパケットだけを通すことができます。
※ リビジョンによっては、tcpflagを設定できないものもあります。その場合には、次のように2行に分けることで同様の効果を得ることができます。
# ip filter 90 reject 172.16.1.0/28 * established * www
# ip filter 91 pass 172.16.1.0/28 * tcp * www
# pp select 1
# ip pp secure filter out 90 91
※ UDPの場合には、SYNのようなフラグで判断することはできないので、プロトコルの欄は単に「udp」となります。
# ip filter 92 pass 172.16.1.0/28 * udp * domain
次にHTTPを通すための動的フィルタを追加します。ここまでの設定と合わせると、次のようになります。
# ip filter 90 pass 172.16.1.0/28 * tcpflag=0x0002/0x0fff * www
# ip filter 100 reject * * * * *
# ip filter dynamic 1 172.16.1.0/28 * www
# pp select 1
# ip pp secure filter in 100
# ip pp secure filter out 90 dynamic 1
次に、FTPサーバを公開するためのフィルタを追加します。まず、トリガーのコネクションの最初のパケットを通すために次の静的フィルタを追加します。
# ip filter 80 pass * 172.16.1.0/28 tcpflag=0x0002/0x0fff * 21
# pp select 1
# ip pp secure filter in 80 100
最後に、FTPを通す動的フィルタを追加します。全体をまとめると次のようになります。
# ip filter 80 pass * 172.16.1.0/28 tcpflag=0x0002/0x0fff * 21
# ip filter 90 pass 172.16.1.0/28 * tcpflag=0x0002/0x0fff * www
# ip filter 100 reject * * * * *
# ip filter dynamic 1 172.16.1.0/28 * www
# ip filter dynamic 2 * 172.16.1.0/28 ftp
# pp select 1
# ip pp secure filter in 80 100 dynamic 2
# ip pp secure filter out 90 dynamic 1
なお、内側のホストを信頼できる場合には、 90番のフィルタのtcpflagを単にtcpとしてもかまいません。
※コメント投稿者のブログIDはブログ作成者のみに通知されます