[DHCP/固定IP]
説明書の内容で、各自の環境に合わせて設定すればよい。
■LANポートIPアドレス
このルータのデフォルトは「192.168.0.1/24」になっているので、DHCP/固定IPにかかわらず変更する場合は、設定画面のメニューの[基本設定]の「IPアドレス/サブネット」欄に変更する値を入力する。
項 目 | DHCP | 固定IP |
IPアドレス/サブネット | 192.168.1.1/24 | 192.168.1.1/24 |
■DHCPサーバ機能
設定画面のメニューの「LANポートの設定」の中の、[DHCPサーバー設定]で設定する。
項 目 | DHCP | 固定IP |
DHCPサーバー機能を使用する | チェック | チェックを外す |
先頭IPアドレス/サブネット | 192.168.1.2/24 | - |
付与IPアドレス数 | 16 | - |
ゲートウェイ | 192.168.1.1 | - |
プライマリ/セカンダリDNS | xx.xx.xx.xx | - |
ドメイン名 | aconus.com | - |
リース期限 | 24:00:00 | - |
*:DNS関係は、ルータをDNSサーバとして動かす場合に設定する。
契約しているISP等から提供された、インターネットへ接続するための資料等に従い設定するが、自動取得できる場合は、「WAN側から取得した・・・・」にチェックを入れる。
[IPマスカレード]
設定画面のメニューの「WANポートの設定」の中の、[動作モード設定]で設定するが、一般的には「DHCPクライアント」か「PPPoEクライアント」を選択することになるが、この選択をするだけで、IPマスカレード機能(IPアドレス変換有効)になる。
[スタティックNAT]
設定画面メニューの「WANポートの設定」の中の、[IPマスカレードテーブル設定]で設定する。登録リスト [変換IPアドレス]欄右下の[編集]ボタンをクリックして各ポートを追加していく。最後に設定ボタンを押して設定を保存するのを忘れないこと。
No. | プロトコル | 先頭ポート番号 | 終了ポート番号 | 変換IPアドレス |
1 | TCP | 21 | 21 | 192.168.1.100 |
2 | TCP | 25 | 25 | 192.168.1.100 |
3 | TCP | 80 | 80 | 192.168.1.100 |
4 | TCP | 110 | 110 | 192.168.1.100 |
5 | TCP | 443 | 443 | 192.168.1.100 |
[フィルタリング]
設定画面のメニューの「LANポートの設定」の中の、[ファイアウォール設定]で設定する。この機種はフラグが使えるので、かなりきめ細かいフィルタを書くことができる。CPUのパワーもあるので、フィルタをかなり書いてもスループットの低下はある程度防げると思われる。
このルータは、「IPフレームの処理ポリシー」が設定でき、フィルタにマッチしなかったとき通過させるか、遮断するか設定できる。遮断に設定すると64個のフィルタでは書ききれないのと、全てのアプリが使用しているポートを調べなければならないので、ここでは通過に設定(デフォルト)し、フィルタには、最後の行にWANから始まる通信については、TCPのsynフラグ付きはフィルタにマッチしなかったら遮断させるルール(暗黙のDeny)を設定し、WAN側から通信が始まるものは明示的に許可設定しないと通過しないようにしてある。この設定は、逆方向、つまり、LAN側から始まった通信、例えば外部のHPをHTTPで見る場合の帰りのパケットは通過する。LANからWAN方向は、フィルタで明示的に遮断している。
[注] ・ ID欄は説明上、おやじが付与したもの。但し、順番は守ること。順番の入れ替えは、後でできるので設定時は編集で追加していけばよい。
・ IN/OUT欄の「WAN/PPPoE」は、WAN側の動作モードに合わせて選択のこと。
WANは、単なるNATルータとして動作させている場合であり、PPPoEはOPT90でPPPoEを終端している場合である。
・ TCP Flag欄の「syn」はsynフラグのみ+synとし、他のフラグは-xxxとすること。
ID | Action | IN | OUT | IP/Mask | Port No. | DNS QType |
Protocol | TCP Flag |
||||
Src | - | Dst | Src | - | Dst | |||||||
1 | cut | WAN/PPPoE | any | 10.0.0.0/8 | and | - | - | or | - | - | any | - |
2 | cut | any | WAN/PPPoE | - | and | 10.0.0.0/8 | - | or | - | - | any | - |
3 | cut | WAN/PPPoE | any | 172.16.0.0/12 | and | - | - | or | - | - | any | - |
4 | cut | any | WAN/PPPoE | - | and | 172.16.0.0/12 | - | or | - | - | any | - |
5 | cut | WAN/PPPoE | any | 192.168.0.0/16 | and | - | - | or | - | - | any | - |
6 | cut | any | WAN/PPPoE | - | and | 192.168.0.0/16 | - | or | - | - | any | - |
7 | cut | any | any | - | - | - | netbios-ns /netbios-ssn |
or | netbios-ns /netbios-ssn |
- | tcp | - |
8 | cut | any | any | - | - | - | netbios-ns /netbios-ssn |
or | netbios-ns /netbios-ssn |
- | udp | - |
9 | cut | any | any | - | - | - | microsoft-ds /microsoft-ds |
or | microsoft-ds /microsoft-ds |
- | tcp | - |
10 | cut | any | any | - | - | - | microsoft-ds /microsoft-ds |
or | microsoft-ds /microsoft-ds |
- | udp | - |
11 | pass | any | any | - | - | - | 53 | or | 53 | - | udp | - |
12 | pass | any | any | - | - | - | 123 | or | 123 | - | udp | - |
13 | cut | any | any | - | - | - | - | - | - | - | udp | - |
14 | pass | any | any | - | - | - | - | - | - | - | icmp | - |
15 | cut | LAN | any | - | - | - | - | and | 1243 | - | tcp | - |
16 | cut | LAN | any | - | - | - | - | and | 12345 | - | tcp | - |
17 | cut | LAN | any | - | - | - | - | and | 27374 | - | tcp | - |
18 | cut | LAN | any | - | - | - | - | and | 31785 | - | tcp | - |
19 | pass | WAN/PPPoE | LAN | - | - | - | 20 | and | - | - | tcp | syn |
20 | pass | WAN/PPPoE | LAN | - | - | 192.168.1.100 | - | and | 21 | - | tcp | syn |
21 | pass | WAN/PPPoE | LAN | - | - | 192.168.1.100 | - | and | 25 | - | tcp | syn |
22 | pass | WAN/PPPoE | LAN | - | - | 192.168.1.100 | - | and | 80 | - | tcp | syn |
23 | pass | WAN/PPPoE | LAN | - | - | 192.168.1.100 | - | and | 110 | - | tcp | syn |
24 |
pass |
WAN/PPPoE |
LAN |
- |
- |
192.168.1.100 |
- |
and |
443 |
- |
tcp |
syn |
26 | cut | WAN/PPPoE | any | - | - | - | - | - | - | - | tcp | syn |
ID. 1〜 6 : WANからのプライベートIPになりすましての侵入防止。 ID. 7〜10 : Microsoft ネットワーク関連のパケットの流出防止。(デフォルト) ID.11〜13 : UDP関係の設定。ID.13で上で通過と指定したもの以外のUDPをカット。 ID.14 : ping/tracerouteのための設定。 ID.15〜18 : トロイの木馬対策。 ID.19〜26 : TCP関係の設定。ここには、WAN側から通信が開始されるサーバ関係のポートを通過設定。 ID.26で上で通過と指定したもの以外のWAN側から通信が開始されるTCPをカット。