インターネット接続し、外部からのアクセスを制限する( バリアセグメントなし)
http://www.rtpro.yamaha.co.jp/RT/manual/Rev.7.01.29/Configs.pdf
5. IP フィルタリング設定例
5.12 インターネット接続し、外部からのアクセスを制限する( バリアセグメントなし)
[条件]
以下の図のように192.168.1.0/24 のネットワークがバリアセグメントなしで専用線経由でインターネット接続する。
更に次のような条件を仮定します。
・外からのパケットは192.168.1.2 だけにしか到達できない
・外へのパケットは制限なく出ていける
・セキュリティ関係の設定はすべてYAMAHA リモートルータで行う
[手順]
# line type bri1 l64
# ip lan1 address 192.168.1.1/24
# ip route default gateway pp 1
# ip filter 10 reject 192.168.1.0/24 * * * *
# ip filter 11 pass * 192.168.1.0/24 icmp * *
# ip filter 12 pass * 192.168.1.0/24 established **
# ip filter 13 pass * 192.168.1.0/24 tcp * ident
# ip filter 14 pass * 192.168.1.0/24 tcp ftpdata *
# ip filter 15 pass * 192.168.1.0/24 udp domain *
# ip filter 16 pass * 192.168.1.2 tcp,udp * smtp,gopher,
finger,www,nntp,ntp,33434-33500
# ip filter source-route on
# ip filter directed-broadcast on
# pp select 1
pp1# pp bind bri1
pp1# ip pp secure filter in 10 11 12 13 14 15 16
pp1# pp enable 1
pp1# syslog host 192.168.1.3
pp1# syslog notice on
pp1# save
pp1# interface reset bri1
[解説]
1. line type コマンドを使用して、回線種別を64kbit/s ディジタル専用線に
指定します。
2. ip lan1 address コマンドを使用して、LAN 側のIP アドレスとネットマスク
を設定します。
3. ip route コマンドを使用して、外部へ送信するパケットをデフォルトルート
により専用線に向けます。
4. ip filter コマンドを使用してフィルタを定義します。
まず、フィルタの10 番で、始点IP アドレスに192.168.1.* を持つものを
排除します。
次に、フィルタの11 番から15 番までで、外部からサイト内部まで通す
サービスに対するフィルタを定義します。
次に、フィルタの16 番で、外部から通すサービスに対するフィルタを定義します。
デスティネーションポート番号の33434-33500 はtracerouteです。
5. ip filter source-route コマンドを使用して、Source-route オプション付き
IP パケットをフィルタアウトするように設定します。
6. ip filter directed-broadcast コマンドを使用して、終点IP アドレスが
Directed-Broadcast アドレス宛になっているIP パケットをフィルタアウト
するように設定します。
7. pp select コマンドを使用して、相手先情報番号を選択します。
8. pp bind コマンドを使用して、選択した相手先情報番号とBRI ポートを
バインドします。
9. ip pp secure filter コマンドを使用して、PP 側の入口でフィルタを
かけるので" in" を指定します。
10. syslog host コマンドを使用して、フィルタアウトしたパケットのSYSLOG
を受けとるホストを設定します。
11. syslog notice コマンドを使用して、フィルタアウトしたパケットをSYSLOG
で報告するようにします。
12. save コマンドを使用して、以上の設定を不揮発性メモリに書き込みます。
13. interface reset コマンドを使用して回線のハードウェアを切替えます。
この後、実際にパケットが流れるようになります。
http://www.rtpro.yamaha.co.jp/RT/manual/Rev.7.01.29/Configs.pdf
5. IP フィルタリング設定例
5.12 インターネット接続し、外部からのアクセスを制限する( バリアセグメントなし)
[条件]
以下の図のように192.168.1.0/24 のネットワークがバリアセグメントなしで専用線経由でインターネット接続する。
更に次のような条件を仮定します。
・外からのパケットは192.168.1.2 だけにしか到達できない
・外へのパケットは制限なく出ていける
・セキュリティ関係の設定はすべてYAMAHA リモートルータで行う
[手順]
# line type bri1 l64
# ip lan1 address 192.168.1.1/24
# ip route default gateway pp 1
# ip filter 10 reject 192.168.1.0/24 * * * *
# ip filter 11 pass * 192.168.1.0/24 icmp * *
# ip filter 12 pass * 192.168.1.0/24 established **
# ip filter 13 pass * 192.168.1.0/24 tcp * ident
# ip filter 14 pass * 192.168.1.0/24 tcp ftpdata *
# ip filter 15 pass * 192.168.1.0/24 udp domain *
# ip filter 16 pass * 192.168.1.2 tcp,udp * smtp,gopher,
finger,www,nntp,ntp,33434-33500
# ip filter source-route on
# ip filter directed-broadcast on
# pp select 1
pp1# pp bind bri1
pp1# ip pp secure filter in 10 11 12 13 14 15 16
pp1# pp enable 1
pp1# syslog host 192.168.1.3
pp1# syslog notice on
pp1# save
pp1# interface reset bri1
[解説]
1. line type コマンドを使用して、回線種別を64kbit/s ディジタル専用線に
指定します。
2. ip lan1 address コマンドを使用して、LAN 側のIP アドレスとネットマスク
を設定します。
3. ip route コマンドを使用して、外部へ送信するパケットをデフォルトルート
により専用線に向けます。
4. ip filter コマンドを使用してフィルタを定義します。
まず、フィルタの10 番で、始点IP アドレスに192.168.1.* を持つものを
排除します。
次に、フィルタの11 番から15 番までで、外部からサイト内部まで通す
サービスに対するフィルタを定義します。
次に、フィルタの16 番で、外部から通すサービスに対するフィルタを定義します。
デスティネーションポート番号の33434-33500 はtracerouteです。
5. ip filter source-route コマンドを使用して、Source-route オプション付き
IP パケットをフィルタアウトするように設定します。
6. ip filter directed-broadcast コマンドを使用して、終点IP アドレスが
Directed-Broadcast アドレス宛になっているIP パケットをフィルタアウト
するように設定します。
7. pp select コマンドを使用して、相手先情報番号を選択します。
8. pp bind コマンドを使用して、選択した相手先情報番号とBRI ポートを
バインドします。
9. ip pp secure filter コマンドを使用して、PP 側の入口でフィルタを
かけるので" in" を指定します。
10. syslog host コマンドを使用して、フィルタアウトしたパケットのSYSLOG
を受けとるホストを設定します。
11. syslog notice コマンドを使用して、フィルタアウトしたパケットをSYSLOG
で報告するようにします。
12. save コマンドを使用して、以上の設定を不揮発性メモリに書き込みます。
13. interface reset コマンドを使用して回線のハードウェアを切替えます。
この後、実際にパケットが流れるようになります。
※コメント投稿者のブログIDはブログ作成者のみに通知されます