YAMAHAルーターっていいよね。
自分でルーター設定したい!!ってなるよね。
AWSだと「セキュリティグループ」って機能をつかうと
アクセス元のIPのイン・アウト制御をめちゃくちゃ簡単にできます。
でも、クラウドだと、どうしても現実味がない!!
俺は物理が触りたいんだ!ネットワークを肌で感じたいんだ!!
ということで、YAMAHA ルーター RTX 系でIPフィルターを追加する方法を書き溜めます。
概要
ip fileter設定
ip filterはフィルタ設定をすることができます。
IP パケットのフィルタを設定する。本コマンドで設定されたフィルタはip filter directed-broadcast、ip filter dynamic、ip filter set、ip forward filter、ip fragment remove df-bit、ip interface rip filter、ip interface secure filter、およびip route コマンドで用いられる。
ipに対して、reject, passを指定する感じです。
ip filterの基本書式
ip filterの基本書式についても公式に書いてあるけど、ちょっと分かりづらかったので
自分なりに解釈しなおすとこんな感じ。
ip filter <フィルター番号> <処理内容> <送信元IPアドレス> <送信先IPアドレス> <プロトコル> <送信元ポート> <送信先ポート>
ポイントは、
先に ipが書いてあったら外からのアクセス, 後ろにIPが書いてあったら外へのアクセス
って感じです。
処理内容
処理内容はpassやrejectが基本ですが、logに出す、logに出さないを指定できます。
- pass: 一致すれば通す ( ログに記録しない )
- pass-log: 一致すれば通す ( ログに記録する )
- pass-nolog: 一致すれば通す ( ログに記録しない )
- reject: 一致すれば破棄する ( ログに記録する )
- reject-log: 一致すれば破棄する ( ログに記録する )
- reject-nolog: 一致すれば破棄する ( ログに記録しない )
- restrict: 回線が接続されていれば通し、切断されていれば破棄する ( ログに記録しない )
- restrict-log: 回線が接続されていれば通し、切断されていれば破棄する ( ログに記録する )
- restrict-nolog: 回線が接続されていれば通し、切断されていれば破棄する ( ログに記録しない )
ポート番号とニーモニック
ポートについては代表的なものがあるから、
とりあえず、下記のポートについては理解しておきたい。
- # 135(RPC) ※リモートプロシージャーコール。以前ウイルスでよく利用されたポート
- # 137-139 (netbios) ※Windows98/Meで利用される共有
- # 445 (smb) ※Windows2000/XPで利用される共有
- # 80 (http) ※WEBサーバー
- # 443 (https) ※SSL
- # 25 (smtp) ※送信メールサーバー
- # 110 (pop3) ※受信メールサーバー
- # 21 (ftp) ※FTPサーバー
- # 20 (ftp-data) ※FTPデータ転送用
- # 23 (telnet) ※TELNET
- # 22 (ssh) ※SSH
- # 53 (DNS) ※DNSサーバー
- # 500 (IPSec) ※VPNのIPSecカプセルで利用されるUDPのポート
- # 1723 (PPTP) ※VPNのPPTPカプセルで利用されるTCPのポート
ip filterの設定例
例えばこんな感じ。
|
1 2 3 4 5 |
ip lan1 secure filter in 1 2 3 ip lan1 secure filter out 1 2 3 ip filter 1 reject * * udp,tcp * 135 ip filter 2 pass * 192.168.230.0/20,192.168.103.0/24 icmp * * ip filter 3 pass * * |
うーん。
ただの設定だけならいいんだけど、
アーキテクチャも考えられるようにならないとだなぁ。
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ip/ip_filter.html
じゃあね〜〜〜〜。