NTT-ME BA8000 Pro

冗長とは思えますが、フィルタ設定でサーバにのみ関連するものはアドレスをサーバに限定しました。
DNSはUDP:53と思っていたのですが、クライアントが名前解決するときに512byteを越えた場合、DNSは512byte以上のデータはUDPで送信できないため、クライアントは再度TCPで牽き直していることが判明したので、UDPとTCPを分離して設定しなおしました。

[DHCP/固定IP]

 接続設定->LAN側ネットワークで設定。DHCP機能を使用する場合は、DHCP機能を有効にし、それ以下のDHCPで通知する項目を設定する。説明書の内容で設定すればよい。

■LAN側ネットワーク

項 目 DHCP 固定IP
プライマリLAN IPアドレス 192.168.1.1 192.168.1.1
プライマリLANサブネットマスク 255.255.255.0 255.255.255.0
セカンダリLANモード 無効 無効
セカンダリLAN IPアドレス - -
セカンダリLANサブネットマスク - -
DHCPサーバ機能 [プライマリLANのみ] 有効 無効
LANデフォルトゲートウェイ 192.168.1.1 -
WINSサーバIPアドレス 0.0.0.0 -
ドメイン名 aconus.com -
DHCPリース時間 24 -
Proxy DNS機能 [DNSルーティング利用時必須] 有効 * -
*: クライアントのDNSサーバアドレスをルータのアドレスに設定すると、プロキシしてくれる。

■DHCPスコープ

 ここで、何番から何番までのIPアドレスをDHCPサーバ機能によりLAN側ホストに割り当てるかを設定する。デフォルトで、192.168.1.20〜192.168.1.50の範囲で払い出されるアドレスが設定されているので、自分の環境に修正する。
 

■DHCP固定IPアドレス

 本機能は、DHCPでアドレスを払い出すがサーバのようにアドレスを固定したい場合に、その端末のMACアドレスをキーに払い出すアドレスを固定化する機能である。一見便利そうであるが、MACアドレスはLANカード(オンボードを含む)に付与されるため、故障で交換したりすると変わってしまい、トラブルで交換してしまうとアドレスが付与できなくなってしまう。トラブルであせっているときに、DHCPのことまで気が回らず何で動かないのか悩むだけであるので、おやじはこの機能は絶対に使用しないことを薦める。業務系ネットワークでは、端末のMACアドレスの管理はできないので、厳禁である。

[IPマスカレード]

 ルータ設定->NAPT->NAPTで設定するが、NAPTを有効とするだけである。ここの項目は一般的にデフォルトのままで良いはず。おやじは仕事の関係でIPsecパススルーを有効にしている。

アカウント選択 NAPT FTP制御ポート PPTPパススルー機能 L2TPパススルー機能 IPsecパススルー機能
ISP 有効 21 無効 無効 有効

[スタティックNAT]

 ルータ設定->NAPT->静的マスカレードで設定する。下のほうにある静的マスカレードの追加ボタンを押し、「静的マスカレードの追加/修正」で設定していく。最後に設定ボタンを押して設定を保存するのを忘れないこと。

ID プロトコル リモートIP
アドレス
リモート
ポート
外部IP
アドレス
外部
ポート
内部
IPアドレス
内部ポート
1 TCP * * WAN側ポートIPアドレス 21 192.168.1.100 外部ポート番号と同じ
2 TCP * * WAN側ポートIPアドレス 25 192.168.1.100 外部ポート番号と同じ
3 TCP * * WAN側ポートIPアドレス 80 192.168.1.100 外部ポート番号と同じ
4 TCP * * WAN側ポートIPアドレス 110 192.168.1.100 外部ポート番号と同じ
5 TCP * * WAN側ポートIPアドレス 443 192.168.1.100 外部ポート番号と同じ
6 TCP * * WAN側ポートIPアドレス 4000-4029 192.168.1.100 外部ポート番号と同じ


[フィルタリング]

 セキュリティ->静的フィルタで設定する。この機種にはダイナミックフィルタというトリガを決めその後のアクションを設定できるフィルタもあるが、設定するにはサービスごとに一連の動きを考える必要があり設定が面倒くさい。特殊な物でない限り静的フィルタで十分設定できる。
 静的フィルタは、「WAN側からLAN側」、「LAN側からWAN側」でそれぞれ64個ずつ設定でき、かつフラグが使えるのでかなりきめ細かいフィルタを書くことができる。CPUのパワーもあるので、フィルタをかなり書いてもスループットの低下はある程度防げると思われる。
 このフィルタは、最後のID.64にデフォルトでフィルタにマッチしなかったら通過させるルール(暗黙のAllow)が設定されており、書き換えができないので、ID.63でTCPのsynフラグ付きはフィルタにマッチしなかったら廃棄させるルール(暗黙のDeny)を設定し、WAN側から通信が始まるものは明示的に許可設定しないと通過しないようにしてある。つまり、LAN側から始まった通信、例えば外部のHPをHTTPで見る場合の帰りのパケットは通過する。
 LANからWAN方向は、フィルタにマッチしなかったら通過させるルール(暗黙のAllow)を設定してある。

■アカウント/方向選択  ISP -> lan0 (WAN -> LAN) 

ID 動作 プロトコル tcpフラグチェック tcpフラグ 送信元IPアドレス 送信元ポート 送信先IPアドレス 送信先ポート
1 破棄 * - - 10.0.0.0/8 * * *
2 破棄 * - - 172.16.0.0/12 * * *
3 破棄 * - - 192.168.0.0/16 * * *
4 破棄 tcp&udp tcpフラグチェックしない - * 135 * *
5 破棄 tcp&udp tcpフラグチェックしない - * * * 135
6 破棄 tcp&udp tcpフラグチェックしない - * 137-139 * *
7 破棄 tcp&udp tcpフラグチェックしない - * * * 137-139
8 破棄 tcp&udp tcpフラグチェックしない - * 445 * *
9 破棄 tcp&udp tcpフラグチェックしない - * * * 445
10 通過 udp - - * 53 * *
11 通過 udp - - * 123 * *
                 
18 破棄 udp - - * * * *
19 通過 icmp - - * * * *
20 通過 tcp 以下のtcpフラグだけを持つ
パケットをフィルタ対象とする
syn * 20 * *
21 通過 tcp 以下のtcpフラグだけを持つ
パケットをフィルタ対象とする
syn * * 192.168.1.100 21
22 通過 tcp 以下のtcpフラグだけを持つ
パケットをフィルタ対象とする
syn * * 192.168.1.100 25
23 通過 tcp 以下のtcpフラグだけを持つ
パケットをフィルタ対象とする
syn * * 192.168.1.100 80

24

通過 tcp 以下のtcpフラグだけを持つ
パケットをフィルタ対象とする
syn * * 192.168.1.100 110
25 通過 tcp 以下のtcpフラグだけを持つ
パケットをフィルタ対象とする
syn * * 192.168.1.100 443
26 通過 tcp 以下のtcpフラグだけを持つ
パケットをフィルタ対象とする
syn * * 192.168.1.100 4000-4029
                 
63 廃棄 tcp 以下のtcpフラグだけを持つ
パケットをフィルタ対象とする
syn * * * *
64 通過 * - - * * * *
ID. 1〜 3 : WANからのプライベートIPになりすましての侵入防止。
ID. 4〜 9 : Microsoft ネットワーク関連のパケットの流出防止。
ID.10〜18 : UDP関係の設定。ID.18で上で通過と指定したもの以外のUDPをカット。
ID.19     : ping/tracerouteのための設定。
ID.20〜26 : TCP関係の設定。ここには、WAN側から通信が開始されるサーバ関係のポートを通過設定。
            ID.63で上で通過と指定したもの以外のWAN側から通信が開始されるTCPをカット。

■アカウント/方向選択  lan0 -> ISP (LAN -> WAN) 

ID 動作 プロトコル tcpフラグチェック tcpフラグ 送信元IPアドレス 送信元ポート 送信先IPアドレス 送信先ポート
1 破棄 * - - * * 10.0.0.0/8 *
2 破棄 * - - * * 172.16.0.0/12 *
3 破棄 * - - * * 192.168.0.0/16 *
4 破棄 tcp&udp tcpフラグチェックしない - * 135 * *
5 破棄 tcp&udp tcpフラグチェックしない - * * * 135
6 破棄 tcp&udp tcpフラグチェックしない - * 137-139 * *
7 破棄 tcp&udp tcpフラグチェックしない - * * * 137-139
8 破棄 tcp&udp tcpフラグチェックしない - * 445 * *
9 破棄 tcp&udp tcpフラグチェックしない - * * * 445
10 破棄 tcp tcpフラグチェックしない - * * * 1243
11 破棄 tcp tcpフラグチェックしない - * * * 12345
12 破棄 tcp tcpフラグチェックしない - * * * 27374
13 破棄 tcp tcpフラグチェックしない - * * * 31785
14 破棄 udp - - * * * 31789
15 破棄 udp - - * * * 31791
                 
64 通過 * - - * * * *
ID. 1〜 3 : LANからWAN側のプライベートIPへのパケット送出防止。
ID. 4〜 9 : Microsoft ネットワーク関連のパケットの流出防止。
ID.10〜15 : トロイの木馬対策。
ID.64     : 上で破棄と指定したもの以外は通過させる設定。


戻る