• ベストアンサー
  • すぐに回答を!

YAHAMA RTX1100のフィルタ設定について

初心者でもうしわけございませんがYAMAHA RTX1100の設定を頼まれてしまい 四苦八苦しておりますので御教授ください。 現在  LAN1にIP 192.168.10.1  LAN2に PPPOE LAN3にIP 192.168.20.1 LAN3にLAN1のクライアントから使用するWEBサーバーIP 192.168.20.10 を置いてある状態で LAN1からLAN3のWEBサーバーへはアクセスできる状態にあります。 また現在はLAN3からLAN1へもアクセスができる状態です。 そこでフィルタの設定なんですが LAN1からLAN3へはアクセス許可にしておいて LAN3からLAN1へはアクセス遮断とする場合 どういったフィルタ設定にすればよろしいでしょうかご教授よろしくお願いいたします。

共感・応援の気持ちを伝えよう!

  • 回答数3
  • 閲覧数787
  • ありがとう数0

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.2

こんにちは。hirasaku です。 ちなみに、LAN3に接続されているのはWebサーバだけですかね? それと、WebサーバはLAN1には行けないけど、 インターネットには接続させたいのですかね? と、まぁ、いろいろ情報が少ないのですが、 下の設定の条件は、 LAN1からLAN3へのTCPに関する通信は許可し (なので、Web以外のTCPセッションも許可です) LAN3からLAN1への通信は拒否(PINGも) かつLAN1とLAN3はLAN2経由でインターネット接続可です。 そのためには nat descriptor address inner 1 auto と設定と フィルタはLAN1セグメントとLAN3セグメントを考慮したフィルタを pp select 側に設定してください。 (pp select 側のフィルタ設定は設定済みということで) で、ご希望のフィルタですが、 ip filter 110 pass * 192.168.10.0/24 established * * ip filter 120 reject * 192.168.10.0/24 * * * ip filter 130 pass * * * * * ip lan3 secure filter in 110 120 130 (フィルタ番号はお好みで) どうでしょうか。 では。

共感・感謝の気持ちを伝えよう!

質問者からの補足

早速のご回答ありがとうございました。 ip filter 300000 pass * * icmp * * ip filter 300001 pass * 192.168.10.0/24 established * * ip filter 300002 reject * 192.168.10.0/24 * * * ip filter 300099 pass * * * * * ip lan3 secure filter in 300000 300001 300002 300099 にてpingは通すように設定しうまくいきました。 またlan3にあるwebサーバーはネット接続は許可としVPNアクセスも許可とします。 テストはしてみたのですがこのフィルタで全てOKでした。 ちなみに今のところlan3にはwebサーバーしかない状態ですが クライアントが増えてもlan1へのアクセスは遮断する予定です その場合でもこのままのフィルタでよろしいのでしょうか? 何か障害が出ますでしょうか?

関連するQ&A

  • YAMAHA RTX1100の設定

    YAMAHA RTX1100のルーティング・フィルタ設定についてご教授ください。 YAMAHAのRTX1100を使用して2つのセグメントのネットワークを構成しています。 ネットやマニュアルを参考に設定しているつもりなのですがうまくいかず困り果っております。 非常に初歩的な内容で恐縮ですし、質問の仕方もおかしいのかもしれませんが お知恵を拝借できれば大変ありがたいです。 現在 LAN1側に 192.168.100.1/24 LAN3側に 192.168.200.1/24 とIPを振りLAN2をPPPOE接続として使っております。 そこで LAN3の192.168.200.10にサーバーを置きLAN1にあるクライアントPCからアクセスできるようにして なおかつLAN3の192.168.200.0/24にあるクライアントPCからはLAN1の192.168.100.0/24へは アクセスできないようにルーティングとフィルタの設定を行いたいのですがどのように設定を行えばよろしいでしょうか?

  • RTX1200の設定について

    最近、中古のRTX1200を入手し、 ヤマハのサイトにあるRTX1200の設定例 「自社サーバーを公開(1つの固定グローバルIPアドレス / DMZセグメント : LAN3) : コマンド設定」 http://jp.yamaha.com/products/network/solution/internet/server/ を参考に設定しています。 設定例ではサーバーメンテナンス用にtelnetの通信を通すフィルタを LAN側(192.168.0.0)からDMZ側(192.168.10.0/24)へ ip filter dynamic 200 192.168.0.0/24 * telnet ip lan3 secure filter out 3000 dynamic 100 101 200 のようにしていますが、 当方SSHをポート44444(例)に変更して使用しているため ip filter dynamic 200 192.168.0.0/24 * tcp のように直してみました。 こう設定すればLAN側からDMZ側へターミナルソフトにてSSH接続出来るにはできるのですが、 接続完了まで10秒近くかかってしまいます。 ちなみに、 ip lan3 secure filter in 2000 ip filter 2000 reject * * を設定しなければ、瞬時に接続が完了します。 単純に ip filter dynamic 200 192.168.0.0/24 * telnet を ip filter dynamic 200 192.168.0.0/24 * tcp に直せばいいという問題ではないのでしょうか? 根本的になにか間違えているのでしょうか? ヒントでも構いません。 ご教示いただければ幸いです。

  • RTX1200でのフィルタについて

    以前同じような質問をしたのですが、内容がいろいろ変更になったので、改めて投稿します。 社内ネットワーク、192.168.10.0/24があります。 192.168.10.1にルータを置き、インターネットに接続。 192.168.10.10にサーバーを置き、ファイルサーバー、プロキシサーバー、社内DNSサーバーとして運用していました。 業務拡張により、上記に加え 172.16.10.0/24 というネットワークを作ることになり、ルータにはRTX1200を使用することになりました。 LAN1は使用せず、LAN2をWAN側、LAN3をLAN側としました。 LAN3側は、192.168.10.0/24と172.16.10.0/24としてVLANを切ってあり、ルータの下にはL2スイッチがあり、タグVLANとして192.168.10.0/24、172.16.10.0/24 それぞれが接続されています。 まずはシンプルに下記のように記述したところ、192.168.10.0/24、172.16.10.0/24 どちらのクライアントもインターネットに接続でき、192.168.10.10のサーバーの共有フォルダへのアクセス、プロキシサーバーの利用もできました。 -------------------- ip lan2 address (IPアドレス) ip lan2 nat descriptor 1 ip route default gateway (GWアドレス) nat descriptor type 1 masquerade nat descriptor address outer 1 (IPアドレス) dns server (DNSサーバーのアドレス) vlan lan3/1 802.1q vid=1721 name=M010 ip lan3/1 address 172.16.10.1/24 vlan lan3/2 802.1q vid=1921 name=K010 ip lan3/2 address 192.168.10.1/24 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 101 172.16.10.20-172.16.10.100/24 dhcp scope option 101 dns=192.168.10.10 dhcp scope 102 192.168.10.20-192.168.10.100/24 dhcp scope option 102 dns=192.168.10.10 -------------------- ここにフィルターをかけ、下記のような動作を実現したいと思っています。 ・192.168.10.0/24グループと172.16.10.0/24グループは、グループ内PC同士のアクセスは可、グループ間の相互アクセスは不可 ・サーバーが192.168.10.10にあるので、172.16.10.0/24グループもこのサーバーへは自由にアクセスできる ・インターネットの接続(www)は必ず192.168.10.10のプロキシサーバーを通したいので、クライアントから直接WAN側に(www)は出られないようにする。 ・プロキシサーバーはwwwだけなので、pop3やsmtpなど「webサイトを見る」以外はプロキシ経由でなく直接WAN側に出られるようにする 色々試しているのですが、どうもすべてうまくはいきません。 フィルタのかけ方、もしくは上記を実現するよい方法がありましたら、アドバイスいただきたいと思います。 よろしくお願いします。

その他の回答 (2)

  • 回答No.3

こんばんは。 hirasaku です。 うまくいきましたか。よかったです。 今回のフィルタで端末が増えても大丈夫です。 しかし、established はTCPの通信のみ戻しますので、 UDPでの通信は落とします。 UDP通信は、通常のフィルタでLAN3からLAN1への許可設定してください。 では。

共感・感謝の気持ちを伝えよう!

  • 回答No.1

 お尋ねの件ですが、lan1インターフェイスに動的フィルタ設定で 「ip lan1 secure filter out 10 11 dynamic 1」、「ip filter dynamic 1 192.168.20.0/24 * www」 、「ip filter 10 reject 192.168.20.0/24 * established * www」、「ip filter 11 pass 192.168.20.0/24 * tcp * www」等を設定すればOKかと存じます。  つまり、lan1からの動的フィルタ設定とwww許可をout filter登録すればOKかと存じます。  

共感・感謝の気持ちを伝えよう!

質問者からの補足

早速のご回答ありがとうございました。 設定してみてうまくいきました。 この度は本当に助かりました。 また機会がございましたらご質問させていただきます。

関連するQ&A

  • YAMAHA RTX1100のフィルタ設定

    現在YAMAHA RTX1100ルータの設定でわからない箇所があります。 ■実現したいこと WAN側からのアクセスを全て拒否、LAN側からのアクセスを全て許可 設定例集によると、以下の設定をすれば WAN側からのアクセスを全て拒否し、LAN側からのアクセスを全て許可することが可能であると記載があります。 ----- ip filter 1 pass * * established pp select 1 ip pp secure filter in 1 ----- この設定だけで、本当に全てのWAN側からのアクセスを遮断できているのでしょうか。。 この他にもrejectを使ったフィルタなどを挟まなければいけないのでしょうか。。 あともう1点。 この例ではppインターフェイスに対して設定をしていますが、 通常のLANインターフェースやトンネルインターフェイスでも、このフィルタを適用することで外部からのアクセスを拒否することは可能なのでしょうか。 ■補足 ・LAN側に公開したいサーバなどはないので、外からのアクセスは全拒否にして問題ないです。 ・ftpも使わないのでftpdataも通さなくてよいです。 ご存じな方、ご教授の程宜しくお願いします。

  • YAMAHA RTX1100の設定

    YAMAHAのRTX1100を使わなくてはならなくなったのですが、設定がまったくわかりません。 WAN側ゲートウェイ:192.168.1.1 RTX1100 LAN側IP:192.168.11.1 WAN側IP:192.168.1.111 LAN側に繋がっているWindowsXP IPアドレス      :192.168.11.2 サブネットマスク   :255.255.255.0 デフォルトゲートウェイ:192.168.11.1 DNSサーバ       :プロバイダ指定のIP このような場合、 ip lan1 address 192.168.11.1/24 # LANのインタフェースの設定 ip lan2 address 192.168.1.111/24 # WANのインタフェースの設定 ip route 192.168.11.0/24 gateway 192.168.1.1 #WAN側ゲートウェイの設定 これで動かないのですが、これ以上何をしなければならないのか解らない状態です。

  • RTX1200 LAN3ポートをLAN1と一緒に

    YAMAHA のRTX1200 で LAN2を WANに LAN1 はLANにして使用しているのですが LAN3は使用していません。 LAN3をLAN1のHUBの1つのポートの用に利用するにはどのような設定をすればよいでしょうか。 LAN3にIPをわりあてて、ルーティングしないとだめでしょうか。 なにかよい方法があればご指導おねがいします。m(_ _)m

  • RTX1200でのセグメント間のフィルターについて

    従来、社内のネットワークを192.168.10.0/24だけで運営していました。 ファイルサーバー兼プロキシサーバーを192.168.10.10 に置き、このセグメント内にすべてのPCがあり、インターネット接続はこのプロキシサーバー経由で、また、データの共有フォルダもこのサーバーに置かれていました。 この従来の環境をAグループとします。 今回、業務の拡張にあわせて、192.168.20.0/24 というBグループを作ることになり、ルータも新規にRTX1200を使うことになりました。 RTX1200のLAN2をWAN側とし、インターネットに接続しました。 LAN3はLAN側とし、タグVLANを使用して192.168.10.0/24のAグループと、192.168.20.0/24のBグループを作成しました。 サーバーは192.168.10.10 ですので、そのままAグループに所属しています。 この状態でAグループ、Bグループは相互に通信でき、インターネットにもつながる状態なのですが、これを、 ・基本的にAグループとBグループ間は遮断する。 ・ただし、Aグループにあるサーバー(192.168.10.10)はBグループからでもアクセスできるようにする。 ・AグループもBグループも、インターネットへのアクセスは192.168.10.10のプロキシサーバーを経由してのみ行う。 という風にしたいと思います。 RTX1200のconfigでip filter のかけ方だけで出来ると思うのですが、どうもうまくいきませんでした。 フィルタのかけ方、もしくは上記を実現するよい方法がありましたら、アドバイスください。 よろしくお願いします。

  • RTX-1000の設定について

    ネットワーク初心者です。 会社でネットワークの勉強を始め、テスト環境を用意していただきました。(下記のような感じです) 全くの初心者のため、全くわかりません。 そんなもんネットで調べろ!とお怒りの声が聞こえてきそうですが、調べても調べ方が下手なのか、うまくヒットしません。 どなたか助言お願い致します。 行いたいことは、RTX-1000の設定のみで、PC2からインターネットに接続することです。 よろしくお願い致します。       | Global Address xxx.xxx.xxx.xxx     +-------------+     | RTX-1500 |     +-------------+       | LAN1 IP:192.168.1.1       | *----------------------------------* 192.168.1.0/24   |        | +---------+     | LAN3 IP:192.168.1.100 | PC1 |  +-------------+ +---------+  | RTX-1000 |         +------------+            | LAN1 IP:192.168.2.1            | *----------------------------------* 192.168.2.0/24        |        |     +--------+     | PC2 |     +--------+

  • 2台目のWEBサーバーを追加する際の設定方法について

    現在yamaha rtx1100を使って、 WAN(lan2) -- rtx1100 -- LAN(lan1)         |       サーバー1(lan3) のような環境で1台ウェブサーバーが稼動しています。 ここに新たにもう1台ウェブサーバーを追加したいのですが、 どのようにすればいいのでしょうか? WAN(lan2) -- rtx1100 -- LAN(lan1)         |       ハブ(lan3)      /     |    サーバー1 サーバー2 というようにすればいいのでしょうか? もしそうであれば、ルーターの設定はどのようにすればいいのでしょうか? また、ハブはどのようなものを購入すればいいのでしょうか? 今まで、ハブは使用したことが無く、ハブというものがあまりよくわかっていません。 昔使っていた、バッファローのルーター4mgが余っております。 これをハブとして使用することはできないのでしょうか? 現在のRTX1100の設定はこちらの参考ページのものをそのまま使っております。 http://netvolante.jp/solution/int/case4.html 参考になるサイトなどでも結構ですので、 どなたか宜しくお願い致します。

  • RTX810でローカルルータとして使いたい

    RTX810でインターネット接続を行わず ローカルルータ(LAN1/LAN2の2つのセグメント間を疎通させたい)としてつかいたいのですが、うまくいきません。 LAN1側IP:192.168.0.6/24  gateway 192.168.0.2(同セグメント内のFW) LAN2側IP:10.21.31.1/24  gateway 10.21.31.2/21(LAN2から直接つないであるRTX1200) この状態で LAN1配下のPCとLAN2配下のPCを両方疎通できるようにしたいです。 下記のコンフィグだとLAN1側からは疎通は○なのですが、LAN2からは192.168.0.0/24に通信できません。 末筆でお手数なのですが、下記コンフィグのなにが足りないのか、ご教授いただけないでしょうか? よろしくお願いします。 ip route default gateway 192.168.0.2 ip route 10.21.31.0/24 gateway 10.21.31.2 ip route 192.168.0.0/24 gateway 192.168.0.2 ip lan1 address 192.168.0.6/24 ip lan2 address 10.21.31.1/24 ip lan2 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 auto

  • RTX1100のIPフィルタ設定

    YAMAHA製ルーターRTX1100を光ルーターPR-400NEの代わりに ルーターとして使用しなければならなくなり、設定に悪戦苦闘しています。 YAMAHAの設定集を見て、PPPoE接続とIPマスカレード、DHCPの設定は行うことが出来、 インターネットには繋がりました。 質問させて頂きたいのは、IPフィルタの設定です。 ひとまず、設定集から移した以下の設定で登録していますが、 他にもセキュリティ上追加すべき、IPフィルタ設定があったら教えて下さい。 よろしくお願いします。 (IPフィルタ設定) ip filter source-route on ip filter directed-broadcast on ip filter 1000 reject 192.168.1.0/24 * * * * ip filter 1001 reject 10.0.0.0/8 * * * * ip filter 1002 reject 172.16.0.0/12 * * * * ip filter 1003 reject 192.168.0.0/16 * * * * ip filter 2000 reject * 192.168.1.0/24 * * * ip filter 2001 reject * 10.0.0.0/8 * * * ip filter 2002 reject * 172.16.0.0/12 * * * ip filter 2003 reject * 192.168.0.0/16 * * * ip filter 2999 pass 192.168.1.0/24 * * * ip filter 1999 pass * 192.168.1.0/24 * * * pp select 1 ip pp secure filter in 1000 1001 1002 1003 1999 ip pp secure filter out 2000 2001 2002 2003 2999 pp select none

  • YAMAHA RTX1200のフィルタ設定について

    YAMAHAのRTX1200で、pppoeでインターネットにつなぐ際の フィルタ設定を教えていただけませんか。 内部→外部へのアクセスは通す。 外部→内部へのアクセスは通さない。 CUIで設定します。 現在の設定内容 security class 3 on off off ip route default gataway pp 1 ip filter source-route on ip filter directd-broadcast on ip icmp echo-reply send off ip lan1 address 192.168.1.1/24 pp select 1 pp always-on on pppoe use lan 2 pp auth accept pap chap pp auth myname xxx@xxx.co.jp xxxxx ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp secure filter in 1000 ip pp secure filter out 2000 dynamic 105 106 107 ip pp intrusion detection in on ip pp nat descriptor 1 pp enable 1 ip filter 1000 reject * * * * * ip filter 2000 pass * * ip filter 105 * * ping ip filter 106 * * tcp ip filter 107 * * udp nat descriptor type 1 masquerade

  • rtx810のフィルタ型ルーティングについて

    本社VPNルータ(LAN側IP192.168.0.1 設定変更不可)で構成されているネットワークに、 RTX810ルータ(LAN側IP192.168.0.100)をLAN側に接続し、WAN側には172.100.100.100を 割り当てた構成 と仮定した場合下記の動作は可能でしょうか。 インターネット     |       RTX810 ルータ192.168.0.1 ルータ172.100.100.100――ルータ172.100.100.1     |  |       192.168.0.100        |     |  |             |         WEBサーバ     |     ―――――――――     PC WEBサーバへの接続(172.100.100.50)をしたい場合、 pcよりhttp://192.168.0.100にアクセス、 RTX810の割当てIP(LAN側IP192.168.0.100)のパケットはすべて NATを利用し172.100.100.100系ルータ経由で接続可能でしょうか?。 ※RTX810のデフォルトゲートウェイは192.168.0.1 ※WAN側からのアクセスは無し ※端末設定 固定IP 端末数が多い為変更が難しい。   192.168.0.XXX デフォゲ 192.168.0.1   DNS 192.168.0.1 以上よろしくお願い申し上げます。