NTT-ME MN8300/8300W


このルータは住友電工製なので、おやじが以前使用していたTE4121C等とほぼ同じような考えで設定できます。ここでは、マルチセッションで二つのISPでサーバ公開する例を示します。ISPが一つの場合も、基本的には変わりはありません。

[DHCP/固定IP]

 詳細設定のLAN側IP設定で設定。

項 目 DHCP 固定IP
DHCPサーバ 使用する 使用しない
割り当て先頭アドレス 192.168.1.2 -
割り当てIPアドレス個数 16 -
リース時間 1440 -
配送ゲートウェイアドレス LAN側IPアドレス -
配送DNSサーバアドレス 自動 * -
*: PPPoEの場合、この設定に関わらずLAN側IPアドレスが通知され、DNS Proxyとして動作する。詳細はhelpで確認のこと。


[IPマスカレード]

 詳細設定の動作モード設定を「NATルータ」に設定するだけで、IPマスカレード(NATルータ機能といっている)が有効となる。

[スタティックNAT]

 インターネットから通信が始まるサーバ用の各ポートを、オプション設定のNATアドレス変換での設定。接続先1用のサーバのアドレスを192.168.1.100、接続先2用のサーバのアドレスを192.168.1.101とした例を示す。

No. 優先度 接続先の名称 LAN側IPアドレス WAN側IPアドレス プロトコル ポート番号
1 1 接続先1 192.168.1.100 自WAN側アドレス TCP ftp
2 2 接続先1 192.168.1.100 自WAN側アドレス TCP smtp
3 3 接続先1 192.168.1.100 自WAN側アドレス TCP www
4 4 接続先1 192.168.1.100 自WAN側アドレス TCP pop3
5 5 接続先1 192.168.1.100 自WAN側アドレス TCP 443
6 6 接続先1 192.168.1.100 自WAN側アドレス TCP 4000-4029
7                  
                
11 11 接続先2 192.168.1.101 自WAN側アドレス TCP ftp
12 12 接続先2 192.168.1.101 自WAN側アドレス TCP smtp
13 13 接続先2 192.168.1.101 自WAN側アドレス TCP www
14 14 接続先2 192.168.1.101 自WAN側アドレス TCP pop3
15 15 接続先2 192.168.1.101 自WAN側アドレス TCP 443
16 16 接続先2 192.168.1.101 自WAN側アドレス TCP 4000-4029
17                  


[フィルタリング]


セキュリティ設定のIPフィルタで設定する。

このルータのフィルタは、説明書にも具体的な例がなく感覚的にも分かりにくい。分かりにくいのはインタフェースの定義であり、BA8000的な感覚で扱うと失敗する。このルータのインタフェースは「接続先1から受信」とか、「接続先1へ送信」という表現がされているので、例えば、インターネット側 (ex. 接続先1)からのあるポート (ex. www)をLAN側に中継させたい場合、インタフェース:接続先1から受信、送信元:0.0.0.0/0(any)、送信先:192.168.1.0/24、プロトコル:TCP、送信元/送信先:www(80)、アクション:通過とすればよさそうに見えるが、これは誤りである。このルータのフィルタは、中継フィルタではなく、各インタフェースでどうするかというフィルタであり、インタフェースの定義で、例えば「接続先1から受信」とあるが、これは受信する入口で効かせるフィルタを定義することになる。従って、上記は、インタフェース:接続先1から受信、送信元:0.0.0.0/0(any)、送信先:接続先1(PPP取得)、プロトコル:TCP、送信元/送信先:www(80)、アクション:通過としなければならない。

このルータにはフィルタリストが1つしかなく、デフォルトで15個の設定がされている。最大128個のエントリを記述できるが、インタフェース毎に設定が必要なためマルチセッションで使用する場合は、インタフェースが異なるだけの類似の設定が必要となる。デフォルトの設定は基本的に使用できるが、優先度が中途半端なのと、1つだけインターネットからのTCPセッションの開始を規制している設定があり、サーバ公開はできないようになっているので、設定しなおすこととする。設定は、インターネット側から通信が始まるものは、TCPもUDPも下記で「通過」と設定したもの以外通さないという設定である。
ここでは、テーブルを4ブロック(32個毎。2ブロックは予備。)に分け、各ISP毎に使用することにした。

 
優先度 インタフェース 送信元IPアドレス/マスク長 送信先アドレス/マスク長 プロトコル 送信元ポート番号 送信先ポート番号 アクション
1 1 接続先1から受信 10.0.0.0/8 0.0.0.0/0 * * * 非通過
2 2 接続先1から受信 172.16.0.0/12 0.0.0.0/0 * * * 非通過
3 3 接続先1から受信 192.168.0.0/16 0.0.0.0/0 * * * 非通過
4 4 接続先1へ送信 0.0.0.0/0 10.0.0.0/8 * * * 非通過
5 5 接続先1へ送信 0.0.0.0/0 172.16.0.0/12 * * * 非通過
6 6 接続先1へ送信 0.0.0.0/0 192.168.0.0/16 * * * 非通過
7 7 接続先1へ送信 0.0.0.0/0 0.0.0.0/0 * 135-139 * 非通過
8 8 接続先1へ送信 0.0.0.0/0 0.0.0.0/0 * * 135-139 非通過
9 9 接続先1へ送信 0.0.0.0/0 0.0.0.0/0 * 445 * 非通過
10 10 接続先1へ送信 0.0.0.0/0 0.0.0.0/0 * * 445 非通過
11 11 接続先1から受信 0.0.0.0/0 0.0.0.0/0 * 135-139 * 非通過
12 12 接続先1から受信 0.0.0.0/0 0.0.0.0/0 * * 135-139 非通過
13 13 接続先1から受信 0.0.0.0/0 0.0.0.0/0 * 445 * 非通過
14 14 接続先1から受信 0.0.0.0/0 0.0.0.0/0 * * 445 非通過
15                
16                
17 17 接続先1から受信 0.0.0.0/0 接続先1(PPP取得) UDP domain * 通過

18

18 接続先1から受信 0.0.0.0/0 接続先1(PPP取得) UDP ntp * 通過
19                
20 20 接続先1から受信 0.0.0.0/0 接続先1(PPP取得) UDP * * 非通過
21 21 接続先1から受信 0.0.0.0/0 接続先1(PPP取得) ICMP * * 通過
22                
23                
24 24 接続先1から受信 0.0.0.0/0 接続先1(PPP取得) TCP-SYN * ftp 通過
25 25 接続先1から受信 0.0.0.0/0 接続先1(PPP取得) TCP-SYN ftpdata * 通過
26 26 接続先1から受信 0.0.0.0/0 接続先1(PPP取得) TCP-SYN * www 通過
27 27 接続先1から受信 0.0.0.0/0 接続先1(PPP取得) TCP-SYN * smtp 通過
28 28 接続先1から受信 0.0.0.0/0 接続先1(PPP取得) TCP-SYN * pop3 通過
29 29 接続先1から受信 0.0.0.0/0 接続先1(PPP取得) TCP-SYN * 443 通過
30 30 接続先1から受信 0.0.0.0/0 接続先1(PPP取得) TCP-SYN * 4000-4029 通過
31                
32 32 接続先1から受信 0.0.0.0/0 0.0.0.0/0 TCP-SYN * * 非通過
33 33 接続先2から受信 10.0.0.0/8 0.0.0.0/0 * * * 非通過
34 34 接続先2から受信 172.16.0.0/12 0.0.0.0/0 * * * 非通過
35 35 接続先2から受信 192.168.0.0/16 0.0.0.0/0 * * * 非通過
36 36 接続先2へ送信 0.0.0.0/0 10.0.0.0/8 * * * 非通過
37 37 接続先2へ送信 0.0.0.0/0 172.16.0.0/12 * * * 非通過
38 38 接続先2へ送信 0.0.0.0/0 192.168.0.0/16 * * * 非通過
39 39 接続先2へ送信 0.0.0.0/0 0.0.0.0/0 * 135-139 * 非通過
40 40 接続先2へ送信 0.0.0.0/0 0.0.0.0/0 * * 135-139 非通過
41 41 接続先2へ送信 0.0.0.0/0 0.0.0.0/0 * 445 * 非通過
42 42 接続先2へ送信 0.0.0.0/0 0.0.0.0/0 * * 445 非通過
43 43 接続先2から受信 0.0.0.0/0 0.0.0.0/0 * 135-139 * 非通過
44 44 接続先2から受信 0.0.0.0/0 0.0.0.0/0 * * 135-139 非通過
45 45 接続先2から受信 0.0.0.0/0 0.0.0.0/0 * 445 * 非通過
46 46 接続先2から受信 0.0.0.0/0 0.0.0.0/0 * * 445 非通過
47                  
48              
49 49 接続先2から受信 0.0.0.0/0 接続先2(PPP取得) UDP domain * 通過

50

50 接続先2から受信 0.0.0.0/0 接続先2(PPP取得) UDP ntp * 通過
51                
52 52 接続先2から受信 0.0.0.0/0 接続先2(PPP取得) UDP * * 非通過
53 53 接続先2から受信 0.0.0.0/0 接続先2(PPP取得) ICMP * * 通過
54                
55                
56 56 接続先2から受信 0.0.0.0/0 接続先2(PPP取得) TCP-SYN * ftp 通過
57 57 接続先2から受信 0.0.0.0/0 接続先2(PPP取得) TCP-SYN ftpdata * 通過
58 58 接続先2から受信 0.0.0.0/0 接続先2(PPP取得) TCP-SYN * www 通過
59 59 接続先2から受信 0.0.0.0/0 接続先2(PPP取得) TCP-SYN * smtp 通過
60 60 接続先2から受信 0.0.0.0/0 接続先2(PPP取得) TCP-SYN * pop3 通過
61 61 接続先2から受信 0.0.0.0/0 接続先2(PPP取得) TCP-SYN * 443 通過
62 62 接続先2から受信 0.0.0.0/0 接続先2(PPP取得) TCP-SYN * 4000-4029 通過
63                
64 64 接続先2から受信 0.0.0.0/0 0.0.0.0/0 TCP-SYN * * 非通過
65                
   

 

         
127                
128                
No. 1〜 6/33〜38: WANからのプライベートIPになりすましての侵入防止と、LANからプライベートIPへのパケット送出防止。
No. 7〜14 /39〜46: Microsoft ネットワーク関連のパケットの流出防止。
No.17〜20/49〜52: UDP関係の設定。No.20で上で通過と指定したもの以外のUDPをカット。
No.21/53        : ping/tracerouteのための設定。
No.22〜32/56〜64:TCP関係の設定。No.32/64で上で通過と指定したもの以外のTCPをカット。



戻る