- ベストアンサー
RTX1100のIPフィルタ設定
- YAMAHA製ルーターRTX1100を光ルーターPR-400NEの代わりにルーターとして使用しなければならなくなり、設定に悪戦苦闘しています。
- YAMAHAの設定集を見て、PPPoE接続とIPマスカレード、DHCPの設定は行うことが出来、インターネットには繋がりました。
- 質問させて頂きたいのは、IPフィルタの設定です。ひとまず、設定集から移した以下の設定で登録していますが、他にもセキュリティ上追加すべき、IPフィルタ設定があったら教えて下さい。
- ネットワーク
- 回答数3
- ありがとう数2
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
回答をしてから補足に気づきましたので追加で回答します。 >ip filter 1004 reject 192.168.0.0/24 * * * * >ip filter 1011 pass * 192.168.0.0/24 icmp >ip filter 2004 reject * 192.168.0.0/24 * * * LAN側のネットワークは192.168.1.0/24のように思いますのでこれらの設定は不要です。 1000から1003、2000から2003のフィルタはIPスプーフィング対策なので詳しいことはこちらを参照して下さい。 http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-spoofing-filter.html 後は概ね良い様に思います。 欲を言えば、2010 から 2017のWindowsネットワーク用のフィルタはLANインターフェースに設定したいところです。 (参考URLでLANインターフェースに設定している例があったと思います) ppに設定してもきちんと役割をはたしますがちょっとだけ余計な処理が加わることになります。
その他の回答 (2)
- maesen
- ベストアンサー率81% (646/790)
>動的フィルタを適用した場合ってどれくらいのスループット低下が予想されますか? ちゃんとした数字を持っていませんので微妙ですが、大差は無いという感覚です。 スループットが気になるのであれば、全て静的フィルタにしても問題無いとは思いますが、 >ip filter 1999 pass * 192.168.1.0/24 * * * >ip pp secure filter in 1000 1001 1002 1003 1999 現在の設定がインバウンドを全て許可していますが、これはセキュリティ上好ましくないので 下記のWebサイトの基本となるフィルタを参考に制限をするようにしたほうがいいでしょう。 http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/network-security-filter.html 前の回答に参考で記載したフィルタでWindowsネットワークを外に出さないようにするフィルタは静的フィルタなのでこれも組み合わせると良いと思います。
- maesen
- ベストアンサー率81% (646/790)
ちょっとこの設定だけではいまいちかな。(えらそうにすいません) 出来れば動的フィルタを使用したいところです。 先人の知恵をお借りして、それを元に考えてはいかがでしょうか。 GUI設定の初期値とかですが、結構きちんとしたフィルタが設定されています。 また、設定の説明もありますので参考になると思います。 http://www.ipentec.com/document/document.aspx?page=yamaha-rt-rtx-ip-filter-system http://www.marronkun.net/network/yamaha/rtrtx_000050.html http://jp.yamaha.com/products/network/solution/internet/opticalfiber_command/ RTX1200の例もありますが、フィルタの部分はほとんど同じ設定が使えるはずです。
お礼
ご回答ありがとうございます。 RTX1200の初期フィルタの設定例、大変参考になりました。 追加質問で恐縮なのですが、 動的フィルタを適用した場合ってどれくらいのスループット低下が予想されますか? (ほとんどない、もしくはかなり遅くなるなど) PR-400NEでは、静的IPフィルタ機能のみだったようなので、 設定すべきが悩んでいます。
補足
たびたび申し訳ありません。次の設定で落ち着きました。ご確認頂けると非常に助かります。 ip filter source-route on ip filter directed-broadcast on ip filter 1000 reject 192.168.1.0/24 * * * * ip filter 1001 reject 10.0.0.0/8 * * * * ip filter 1002 reject 172.16.0.0/12 * * * * ip filter 1003 reject 192.168.0.0/16 * * * * ip filter 1004 reject 192.168.0.0/24 * * * * ip filter 1010 pass * 192.168.1.0/24 icmp ip filter 1011 pass * 192.168.0.0/24 icmp ip filter 2000 reject * 192.168.1.0/24 * * * ip filter 2001 reject * 10.0.0.0/8 * * * ip filter 2002 reject * 172.16.0.0/12 * * * ip filter 2003 reject * 192.168.0.0/16 * * * ip filter 2004 reject * 192.168.0.0/24 * * * ip filter 2010 reject-nolog * * udp,tcp 135 * ip filter 2011 reject-nolog * * udp,tcp * 135 ip filter 2012 reject-nolog * * udp,tcp netbios_ns-netbios_ssn * ip filter 2013 reject-nolog * * udp,tcp * netbios_ns-netbios_ssn ip filter 2014 reject-nolog * * udp,tcp 445 * ip filter 2015 reject-nolog * * udp,tcp * 445 ip filter 2016 reject-nolog * * udp,tcp netbios_ns-netbios_dgm * ip filter 2017 reject-nolog * * udp,tcp * netbios_ns-netbios_dgm ip filter 1999 reject * * ip filter 2999 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * netmeeting ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp pp select 1 ip pp secure filter in 1000 1001 1002 1003 1004 1010 1011 1999 ip pp secure filter out 2000 2001 2002 2003 2004 2010 2011 2012 2013 2014 2015 2016 2017 2999 dynamic 100 101 102 103 104 105 106 107 ip pp intrusion detection in on reject=on pp select none
お礼
回答ありがとうございます。 だいぶ、なんとかなりそうです。 大変丁寧に対応して頂き、助かりました。