[DHCP/固定IP]
接続設定->LAN側ネットワークで設定。DHCP機能を使用する場合は、DHCP機能を有効にし、それ以下のDHCPで通知する項目を設定する。説明書の内容で設定すればよい。
■LAN側ネットワーク
項 目 | DHCP | 固定IP |
プライマリLAN IPアドレス | 192.168.1.1 | 192.168.1.1 |
プライマリLANサブネットマスク | 255.255.255.0 | 255.255.255.0 |
セカンダリLANモード | 無効 | 無効 |
セカンダリLAN IPアドレス | - | - |
セカンダリLANサブネットマスク | - | - |
DHCPサーバ機能 [プライマリLANのみ] | 有効 | 無効 |
LANデフォルトゲートウェイ | 192.168.1.1 | - |
WINSサーバIPアドレス | 0.0.0.0 | - |
ドメイン名 | aconus.com | - |
DHCPリース時間 | 24 | - |
Proxy DNS機能 [DNSルーティング利用時必須] | 有効 * | - |
*: クライアントのDNSサーバアドレスをルータのアドレスに設定すると、プロキシしてくれる。
■DHCPスコープ
ここで、何番から何番までのIPアドレスをDHCPサーバ機能によりLAN側ホストに割り当てるかを設定する。デフォルトで、192.168.1.20〜192.168.1.50の範囲で払い出されるアドレスが設定されているので、自分の環境に修正する。
■DHCP固定IPアドレス
本機能は、DHCPでアドレスを払い出すがサーバのようにアドレスを固定したい場合に、その端末のMACアドレスをキーに払い出すアドレスを固定化する機能である。一見便利そうであるが、MACアドレスはLANカード(オンボードを含む)に付与されるため、故障で交換したりすると変わってしまい、トラブルで交換してしまうとアドレスが付与できなくなってしまう。トラブルであせっているときに、DHCPのことまで気が回らず何で動かないのか悩むだけであるので、おやじはこの機能は絶対に使用しないことを薦める。業務系ネットワークでは、端末のMACアドレスの管理はできないので、厳禁である。
[IPマスカレード]
ルータ設定->NAPT->NAPTで設定するが、NAPTを有効とするだけである。ここの項目は一般的にデフォルトのままで良いはず。おやじは仕事の関係でIPsecパススルーを有効にしている。
アカウント選択 | NAPT | FTP制御ポート | PPTPパススルー機能 | L2TPパススルー機能 | IPsecパススルー機能 |
ISP | 有効 | 21 | 無効 | 無効 | 有効 |
[スタティックNAT]
ルータ設定->NAPT->静的マスカレードで設定する。下のほうにある静的マスカレードの追加ボタンを押し、「静的マスカレードの追加/修正」で設定していく。最後に設定ボタンを押して設定を保存するのを忘れないこと。
ID | プロトコル | リモートIP アドレス |
リモート ポート |
外部IP アドレス |
外部 ポート |
内部 IPアドレス |
内部ポート |
1 | TCP | * | * | WAN側ポートIPアドレス | 21 | 192.168.1.100 | 外部ポート番号と同じ |
2 | TCP | * | * | WAN側ポートIPアドレス | 25 | 192.168.1.100 | 外部ポート番号と同じ |
3 | TCP | * | * | WAN側ポートIPアドレス | 80 | 192.168.1.100 | 外部ポート番号と同じ |
4 | TCP | * | * | WAN側ポートIPアドレス | 110 | 192.168.1.100 | 外部ポート番号と同じ |
5 | TCP | * | * | WAN側ポートIPアドレス | 443 | 192.168.1.100 | 外部ポート番号と同じ |
6 | TCP | * | * | WAN側ポートIPアドレス | 4000-4029 | 192.168.1.100 | 外部ポート番号と同じ |
[フィルタリング]
セキュリティ->静的フィルタで設定する。この機種にはダイナミックフィルタというトリガを決めその後のアクションを設定できるフィルタもあるが、設定するにはサービスごとに一連の動きを考える必要があり設定が面倒くさい。特殊な物でない限り静的フィルタで十分設定できる。
静的フィルタは、「WAN側からLAN側」、「LAN側からWAN側」でそれぞれ64個ずつ設定でき、かつフラグが使えるのでかなりきめ細かいフィルタを書くことができる。CPUのパワーもあるので、フィルタをかなり書いてもスループットの低下はある程度防げると思われる。
このフィルタは、最後のID.64にデフォルトでフィルタにマッチしなかったら通過させるルール(暗黙のAllow)が設定されており、書き換えができないので、ID.63でTCPのsynフラグ付きはフィルタにマッチしなかったら廃棄させるルール(暗黙のDeny)を設定し、WAN側から通信が始まるものは明示的に許可設定しないと通過しないようにしてある。つまり、LAN側から始まった通信、例えば外部のHPをHTTPで見る場合の帰りのパケットは通過する。
LANからWAN方向は、フィルタにマッチしなかったら通過させるルール(暗黙のAllow)を設定してある。
■アカウント/方向選択 ISP -> lan0 (WAN -> LAN)
ID | 動作 | プロトコル | tcpフラグチェック | tcpフラグ | 送信元IPアドレス | 送信元ポート | 送信先IPアドレス | 送信先ポート |
1 | 破棄 | * | - | - | 10.0.0.0/8 | * | * | * |
2 | 破棄 | * | - | - | 172.16.0.0/12 | * | * | * |
3 | 破棄 | * | - | - | 192.168.0.0/16 | * | * | * |
4 | 破棄 | tcp&udp | tcpフラグチェックしない | - | * | 135 | * | * |
5 | 破棄 | tcp&udp | tcpフラグチェックしない | - | * | * | * | 135 |
6 | 破棄 | tcp&udp | tcpフラグチェックしない | - | * | 137-139 | * | * |
7 | 破棄 | tcp&udp | tcpフラグチェックしない | - | * | * | * | 137-139 |
8 | 破棄 | tcp&udp | tcpフラグチェックしない | - | * | 445 | * | * |
9 | 破棄 | tcp&udp | tcpフラグチェックしない | - | * | * | * | 445 |
10 | 通過 | udp | - | - | * | 53 | * | * |
11 | 通過 | udp | - | - | * | 123 | * | * |
18 | 破棄 | udp | - | - | * | * | * | * |
19 | 通過 | icmp | - | - | * | * | * | * |
20 | 通過 | tcp | 以下のtcpフラグだけを持つ パケットをフィルタ対象とする |
syn | * | 20 | * | * |
21 | 通過 | tcp | 以下のtcpフラグだけを持つ パケットをフィルタ対象とする |
syn | * | * | 192.168.1.100 | 21 |
22 | 通過 | tcp | 以下のtcpフラグだけを持つ パケットをフィルタ対象とする |
syn | * | * | 192.168.1.100 | 25 |
23 | 通過 | tcp | 以下のtcpフラグだけを持つ パケットをフィルタ対象とする |
syn | * | * | 192.168.1.100 | 80 |
24 |
通過 | tcp | 以下のtcpフラグだけを持つ パケットをフィルタ対象とする |
syn | * | * | 192.168.1.100 | 110 |
25 | 通過 | tcp | 以下のtcpフラグだけを持つ パケットをフィルタ対象とする |
syn | * | * | 192.168.1.100 | 443 |
26 | 通過 | tcp | 以下のtcpフラグだけを持つ パケットをフィルタ対象とする |
syn | * | * | 192.168.1.100 | 4000-4029 |
63 | 廃棄 | tcp | 以下のtcpフラグだけを持つ パケットをフィルタ対象とする |
syn | * | * | * | * |
64 | 通過 | * | - | - | * | * | * | * |
ID. 1〜 3 : WANからのプライベートIPになりすましての侵入防止。 ID. 4〜 9 : Microsoft ネットワーク関連のパケットの流出防止。 ID.10〜18 : UDP関係の設定。ID.18で上で通過と指定したもの以外のUDPをカット。 ID.19 : ping/tracerouteのための設定。 ID.20〜26 : TCP関係の設定。ここには、WAN側から通信が開始されるサーバ関係のポートを通過設定。 ID.63で上で通過と指定したもの以外のWAN側から通信が開始されるTCPをカット。
■アカウント/方向選択 lan0 -> ISP (LAN -> WAN)
ID | 動作 | プロトコル | tcpフラグチェック | tcpフラグ | 送信元IPアドレス | 送信元ポート | 送信先IPアドレス | 送信先ポート |
1 | 破棄 | * | - | - | * | * | 10.0.0.0/8 | * |
2 | 破棄 | * | - | - | * | * | 172.16.0.0/12 | * |
3 | 破棄 | * | - | - | * | * | 192.168.0.0/16 | * |
4 | 破棄 | tcp&udp | tcpフラグチェックしない | - | * | 135 | * | * |
5 | 破棄 | tcp&udp | tcpフラグチェックしない | - | * | * | * | 135 |
6 | 破棄 | tcp&udp | tcpフラグチェックしない | - | * | 137-139 | * | * |
7 | 破棄 | tcp&udp | tcpフラグチェックしない | - | * | * | * | 137-139 |
8 | 破棄 | tcp&udp | tcpフラグチェックしない | - | * | 445 | * | * |
9 | 破棄 | tcp&udp | tcpフラグチェックしない | - | * | * | * | 445 |
10 | 破棄 | tcp | tcpフラグチェックしない | - | * | * | * | 1243 |
11 | 破棄 | tcp | tcpフラグチェックしない | - | * | * | * | 12345 |
12 | 破棄 | tcp | tcpフラグチェックしない | - | * | * | * | 27374 |
13 | 破棄 | tcp | tcpフラグチェックしない | - | * | * | * | 31785 |
14 | 破棄 | udp | - | - | * | * | * | 31789 |
15 | 破棄 | udp | - | - | * | * | * | 31791 |
64 | 通過 | * | - | - | * | * | * | * |
ID. 1〜 3 : LANからWAN側のプライベートIPへのパケット送出防止。 ID. 4〜 9 : Microsoft ネットワーク関連のパケットの流出防止。 ID.10〜15 : トロイの木馬対策。 ID.64 : 上で破棄と指定したもの以外は通過させる設定。