- ベストアンサー
ルーターでファイアウォールの設定
YAMAHAのRTX1000でファイアウォールの設定をしているのですが、 よくわからない部分があるので教えてください。 現在の状況は、テスト環境で、例えていうと (1)192.168.0.0/24 (2)192.168.1.0/24 (3)172.16.0.0/12 の3つのネットワークがあり、 (1)⇔ルーターA⇔(3)⇔ルーターB⇔(2) のようにしてあります。 このルーターの双方に、なりすましの進入を防ぐ設定として 10.0.0.0/8と192.168.0.0/16から来るデータと、 10.0.0.0/8と192.168.0.0/16へ行くデータを 遮断する設定をしました。 と、全てのデータが遮断されてしまうのです。 組み合わせではなく、このうち1つでも設定をすると繋がらなくなってしまう のですが、どうしてなのでしょうか・・? 初歩的な質問かもしれませんが、どうぞご教授ください。 よろしくおねがいします。
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
こんにちは。hirasakuです。 そうだったんですか。TESTだったんですね。 それでしたら、ルーターAでこんな感じでしょうか。 ip route default gateway ルーターBのLAN2アドレス ip lan1 address 192.168.0.1/24 ip lan2 address 172.16.0.1/16 ip lan2 secure filter in 10 11 12 ip lan2 nat descriptor 1 ip filter 10 reject 192.168.0.0/24 * * * * ip filter 11 pass * 192.168.0.0/24 icmp * * ip filter 12 pass * 192.168.0.0/24 established * * nat descriptor type 1 masquerade nat descriptor address outer 1 172.16.0.1 nat descriptor address inner 1 192.168.0.1-192.168.0.254 10のフィルターでなりすまし防止 11のフィルターはPINGなどを通す 12のフィルターはLAN1内からTCPセッションを張りに行ったやつの帰りを通す。 この場合、外(LAN2)からのを防ぐのでLAN2にフィルターをかけます。 LAN1に対してはフィルターをかけてないのでin out すべて通します。 ルーターBはアドレスを変えるだけでいいと思いますよ。 接続形態にもよりますけど、PPPoEを使うならPPPoEの設定をして pp インターフェースにフィルターをかけます。 実際には ip filter source-route on ip filter directed-broadcast on や、ident、ftp、dnsを通すフィルターなど用途に合わせて通すようにします。 では。
その他の回答 (3)
- hirasaku
- ベストアンサー率65% (106/163)
こんにちは。hirasakuです。 割り込んじゃって申し訳ないですが、 これって、RTX1000をローカルルーターとして使うんですよね。 この場合、1台で事足りてしまうような・・・ LANインターフェース3つ持ってますから。 まぁ、それはさておき、 ip spoofingのフィルタはWAN側からのなりすましに対してなのでローカルルーターとして使うのならいらない気がしますけど。 ローカルなんだからなりすましもないと思いますけどね。 しかしながら、どうしてもというのであれば、 10.0.0.0/8 はプライベートAクラスのなりすましに対して 172.16.0.0/12 はプライベートBクラスに対して 192.168.0.0/16 はプライベートCクラスに対して YAMAHAさんはユーザーがどのクラスのプライベートを使うのかわからないため、すべてのクラスのなりすましに対してフィルターをかけてます。 それが設定例集の載ってるんだと思いますよ。 すべてのパケットが通らないのは、ip インターフェイス secuer finter のコマンドを有効にした場合、暗黙のすべて reject が入ります。 なので、フィルターの最後にすべて通す ip filter 番号 pass * * * * * をインターフェースのフィルターに定義します。 in と out を混ぜてフィルターをかけるとこんがらがるので、この場合、インターフェースの対して in のフィルターで、外に出さない reject を使って統一したほうがわかりやすいと思いますよ。 では。
お礼
専門家さんからの回答、ありがとうございます。 今のところはローカルの環境で行っていますが、外側に出すためのテストなので インターネットを仮に172.***のローカルネットワークとして実験しています。 ローカルのIPにフィルタをかけるという理由、よくわかりました。 ありがとうございます。 それから、私の書き方が悪く全ての設定を載せなかったのですが、 全てのデータを通すpass ***** も入力してあるのです。 ちなみに、実際使っている(1)と(2)のIPである 192.168.0.0/24 192.168.1.0/24 もrejectのフィルタをかけていますが、これは全然大丈夫で遮断されないでいます。 (wan側に出るのにnatをかけています) すいません、また何かアドバイスがあればご教授いただけますか。 どうぞよろしくおねがいします。
- root139
- ベストアンサー率60% (488/809)
まず、10.0.0.0/8 ですが、これはクラスAのプライベート用のIPアドレスですね。おそらく、参照されている本のサンプルのネットワークがクラスAのプライベートアドレスを使っているからかと。 したがって、今回の件に関しては設定する必要は無いと思います。影響も無いですが。 ですので、以下の説明では、10.0.0.0/8に関する部分を省きました。 > ip filter 2 reject 192.168.0.0/16 * * * * > ip filter 4 reject * 192.168.0.0/16 * * * > > ip lan2 secure filter in 2 > ip lan2 secure filter out 4 フィルタリングの方向ですが、RTシリーズでは、たしか、下記の様になっていたと思いますので、この様な前提でお話させていただきます。 (lan2側から見るとinとoutが逆転しているのでよく間違えてしまいます。(^^;) in : lan2からルータへ入ってくるパケット out: ルータからlan2へ出て行くパケット 上記の設定では↓の様な状態になっていると思います。 ◆ lan2 → 他のネットワーク 送信元が192.168.~.~のパケットが破棄される。 ◆ 他のネットワーク → lan2 送信先が192.168.~.~のパケットが破棄される。 以上のことから、もし、lan2が192.168.~.~のネットワークであれば通信が出来なくなります。 成りすましは、該当ネットワークへ外部から送られてくるパケットの送信元が、該当ネットワーク内のアドレスになっていますので、この様なパケットを破棄すれば良いことになります。 例) lan2が192.168.1.0/24の場合 --------------------- ip filter 1 reject 192.168.1.0/24 * * * * ip lan2 secure filter out 1 ・・・・ ---------------------------------------------------- 下記のページにRTシリーズの成りすましに対処するフィルタの説明が有ります。 http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-spoofing-filter.html 参考URLは、フィルタリング全般の説明です。
お礼
ありがとうございます。 10.0.0.0/8を引きずりますが、このネットワークは参照している本の どこにも使われていないアドレスなんです。 ちなみに、lan2に入ってくるIPは172.***なので今回の設定には 関係ないし、当然遮断されないものと思っていました。 難しいですね、参考URLをじっくり拝見します。 ありがとうございました。
- root139
- ベストアンサー率60% (488/809)
フィルタリングの方向の設定なども教えて頂けますでしょうか? 例えば、ルータAに192.168.0.0/16から来るパケットを両方向とも破棄する設定をすると、(1)からのパケットはレスポンスも含めて全て遮断されるので、通信ができない状態になりますよね。おそらく、(3)→(1)の方向のみに設定されているのだと思います。 RTX1000でしたら、下記の様なコマンドで設定されていると思いますが、該当する部分のコマンドを書いていただいても良いです。 ip filter 1 reject 192.168.0.0/16 * * * * ip filter 2 reject 172.16.0.0/12 * * * * pp select 1 ip pp secure filter in 1 ・・・ ip pp secure filter out 2 ・・・ また、10.0.0.0/8 に該当するネットワークは見当たりませんが、これをフィルタリングするのはなぜでしょうか?
補足
早速ありがとうございます。 ココの部分だけ設定を書き出して見ます。 ip filter 1 reject 10.0.0.0/8 * * * * ip filter 2 reject 192.168.0.0/16 * * * * ip filter 3 reject * 10.0.0.0/8 * * * ip filter 4 reject * 192.168.0.0/16 * * * ip lan2 secure filter in 1 2 ip lan2 secure filter out 3 4 のようにしています。 10.0.0.0/8の設定ですが、実は私も??です。スミマセン~~!! 今回本を見ながら設定を試しているのですが、この本にそのように書いてあったので そのまま入力してみています。 ですが、(3)→(1) にしても (3)→(2) にしても、 このアドレスには該当しないのでrejectされずにpassするのではないかなぁ、 と思っています。 逆に教えていただきたいのですが、このようなIPのネットワークを わざわざ遮断する必要はあるのでしょうか?? 便乗質問で申し訳ありません。。。
お礼
度々、本当にありがとうございます。 1から丁寧な設定を教えていただき、とても参考になりました。 その後、何度か設定を変えたりしているうちになぜか、ちゃんと遮断・通過できるようになりました。 NATがうまくかかっていなかったのが原因かな???と、思っています。 どちらにしても、何が原因だったのかもう1度最初から見直すつもりです。 今後色々な設定をしていく上で、hirasakuさんの回答はとても参考になりました。 何かありましたらまた、よろしくおねがいします。 ありがとうございました。