RTX1000でファイアウォール設定してみた
RTX1000使ってるんですけど、フィルタリングの設定するの忘れてたというありえないことに気がついたので急いで設定してみました
- 出版社/メーカー: ヤマハ(YAMAHA)
- 発売日: 2002/10/20
- メディア: Personal Computers
- 購入: 3人 クリック: 131回
- この商品を含むブログ (3件) を見る
まあ基本この辺とかのをコピペしたんですけど(笑)ほとんどはいちおう自分なりに調べて理解したつもり…
わかったこと
とりあえず最終形はこんな感じ
#lan1(Lan側)用 ip filter 100000 reject * * udp,tcp 135 * ip filter 100001 reject * * udp,tcp * 135 ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm * ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm ip filter 100004 reject * * udp,tcp netbios_ssn * ip filter 100005 reject * * udp,tcp * netbios_ssn ip filter 100006 reject * * udp,tcp 445 * ip filter 100007 reject * * udp,tcp * 445 ip filter 100099 pass * * * * * #lan2(Wan側)用 ip filter 200000 reject 10.0.0.0/9 * * * * ip filter 200001 reject 172.16.0.0/12 * * * * ip filter 200002 reject 192.168.0.0/16 * * * * ip filter 200003 reject 192.168.0.0/24 * * * * ip filter 200004 reject * 10.0.0.0/8 * * * ip filter 200005 reject * 172.16.0.0/12 * * * ip filter 200006 reject * 192.168.0.0/16 * * * ip filter 200007 reject * 192.168.0.0/24 * * * ip filter 200008 reject * * udp,tcp 135 * ip filter 200009 reject * * udp,tcp * 135 ip filter 200010 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 200011 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 200012 reject * * udp,tcp 445 * ip filter 200013 reject * * udp,tcp * 445 ip filter 200014 pass * * icmp * * ip filter 200098 reject * * * * * ip filter 200099 pass * * * * #動的フィルタ ip filter dynamic 900000 * * ftp ip filter dynamic 900001 * * domain ip filter dynamic 900002 * * www ip filter dynamic 900003 * * smtp ip filter dynamic 900004 * * pop3 ip filter dynamic 900005 * * telnet ip filter dynamic 900098 * * tcp ip filter dynamic 900099 * * udp ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 ip pp secure filter in 200000 200001 200002 200003 200008 200009 200010 200011 200012 200013 200014 200098 ip pp secure filter out 200004 200005 200006 200007 200008 200009 200010 200011 200012 200013 200099 dynamic 900000 900001 900002 900003 900004 900005 900098 900099
Lan側は、windows特有のlan内プロトコルを外に出さないように設定してあとは全通し。
Wan側はローカルIPの通信をブロックと、↑これ。外から入ってくるパケットはICMP以外基本通さない。
この設定だと、
ip filter dynamic 900002 * * www
で80番ポートは動的に開けれるけど443番の設定はしてないからhttpsとかムリなんじゃね?と思ったけど普通に通信できました。なんでかなーと思ったら
ip filter dynamic 900098 * * tcp
わからなかったこと
ip filter dynamic 900098 * * tcp ip filter dynamic 900099 * * udp
これさえあれば、
ip filter dynamic 900000 * * ftp ip filter dynamic 900001 * * domain ip filter dynamic 900002 * * www ip filter dynamic 900003 * * smtp ip filter dynamic 900004 * * pop3 ip filter dynamic 900005 * * telnet
この辺全部いらなかったのでは?とちょっと思いました。でもそんなわけないだろうし…わからん。
あと、どのサイトを見ても
ip filter 200015 pass * * established * *
このフィルターを定義してるんだけど、動的フィルターあるからこれいらなくないですか…?あったらむしろACKを偽装してるパケットやばい気が…。わからん。
あと今思ったけどip lan1 secure filter outって設定してないけどいいのかな…わからん。
わからないことありすぎ\(^o^)/オワタ
終わりに
わからないことたくさんあるけどとりあえず最低限のフィルタリングはできた。(と思いたい)これからちょっとずつわからないことを埋めていけばいいかな。
とりあえず、やはり本を一冊買って体系的に学んだほうがいいのかもしれない。今回わかったこともなんとなく全体的にもやもやしてるし。
頭の出来が悪くてつらいよう><