仙豆のレシピ

ちょっとしたことでも書いていく姿勢で

RTX1000でファイアウォール設定してみた

RTX1000使ってるんですけど、フィルタリングの設定するの忘れてたというありえないことに気がついたので急いで設定してみました

YAMAHA RTX1000 イーサアクセスVPNルーター

YAMAHA RTX1000 イーサアクセスVPNルーター

まあ基本この辺とかのをコピペしたんですけど(笑)ほとんどはいちおう自分なりに調べて理解したつもり…

わかったこと

とりあえず最終形はこんな感じ

#lan1(Lan側)用
ip filter 100000 reject * * udp,tcp 135 *
ip filter 100001 reject * * udp,tcp * 135
ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100004 reject * * udp,tcp netbios_ssn *
ip filter 100005 reject * * udp,tcp * netbios_ssn
ip filter 100006 reject * * udp,tcp 445 *
ip filter 100007 reject * * udp,tcp * 445
ip filter 100099 pass * * * * *

#lan2(Wan側)用
ip filter 200000 reject 10.0.0.0/9 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.0.0/24 * * * *
ip filter 200004 reject * 10.0.0.0/8 * * *
ip filter 200005 reject * 172.16.0.0/12 * * *
ip filter 200006 reject * 192.168.0.0/16 * * *
ip filter 200007 reject * 192.168.0.0/24 * * *
ip filter 200008 reject * * udp,tcp 135 *
ip filter 200009 reject * * udp,tcp * 135
ip filter 200010 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200011 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200012 reject * * udp,tcp 445 *
ip filter 200013 reject * * udp,tcp * 445
ip filter 200014 pass * * icmp * *
ip filter 200098 reject * * * * *
ip filter 200099 pass * * * *

#動的フィルタ
ip filter dynamic 900000 * * ftp
ip filter dynamic 900001 * * domain
ip filter dynamic 900002 * * www
ip filter dynamic 900003 * * smtp
ip filter dynamic 900004 * * pop3
ip filter dynamic 900005 * * telnet
ip filter dynamic 900098 * * tcp
ip filter dynamic 900099 * * udp

ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099
 ip pp secure filter in 200000 200001 200002 200003 200008 200009 200010 200011 200012 200013 200014 200098
 ip pp secure filter out 200004 200005 200006 200007 200008 200009 200010 200011 200012 200013 200099 dynamic 900000 900001 900002 900003 900004 900005 900098 900099

Lan側は、windows特有のlan内プロトコルを外に出さないように設定してあとは全通し。
Wan側はローカルIPの通信をブロックと、↑これ。外から入ってくるパケットはICMP以外基本通さない。


この設定だと、

ip filter dynamic 900002 * * www

で80番ポートは動的に開けれるけど443番の設定はしてないからhttpsとかムリなんじゃね?と思ったけど普通に通信できました。なんでかなーと思ったら

ip filter dynamic 900098 * * tcp

これでtcpは許可してるから…?たぶん同様の理由で(?)懸念してたskypeも問題無しでした。

わからなかったこと

ip filter dynamic 900098 * * tcp
ip filter dynamic 900099 * * udp

これさえあれば、

ip filter dynamic 900000 * * ftp
ip filter dynamic 900001 * * domain
ip filter dynamic 900002 * * www
ip filter dynamic 900003 * * smtp
ip filter dynamic 900004 * * pop3
ip filter dynamic 900005 * * telnet

この辺全部いらなかったのでは?とちょっと思いました。でもそんなわけないだろうし…わからん。

あと、どのサイトを見ても

ip filter 200015 pass * * established * *

このフィルターを定義してるんだけど、動的フィルターあるからこれいらなくないですか…?あったらむしろACKを偽装してるパケットやばい気が…。わからん。

あと今思ったけどip lan1 secure filter outって設定してないけどいいのかな…わからん。

わからないことありすぎ\(^o^)/オワタ

終わりに

わからないことたくさんあるけどとりあえず最低限のフィルタリングはできた。(と思いたい)これからちょっとずつわからないことを埋めていけばいいかな。

とりあえず、やはり本を一冊買って体系的に学んだほうがいいのかもしれない。今回わかったこともなんとなく全体的にもやもやしてるし。

頭の出来が悪くてつらいよう><