• ベストアンサー

ルーターでファイアウォールの設定

YAMAHAのRTX1000でファイアウォールの設定をしているのですが、 よくわからない部分があるので教えてください。 現在の状況は、テスト環境で、例えていうと (1)192.168.0.0/24 (2)192.168.1.0/24 (3)172.16.0.0/12 の3つのネットワークがあり、 (1)⇔ルーターA⇔(3)⇔ルーターB⇔(2) のようにしてあります。 このルーターの双方に、なりすましの進入を防ぐ設定として 10.0.0.0/8と192.168.0.0/16から来るデータと、 10.0.0.0/8と192.168.0.0/16へ行くデータを 遮断する設定をしました。 と、全てのデータが遮断されてしまうのです。 組み合わせではなく、このうち1つでも設定をすると繋がらなくなってしまう のですが、どうしてなのでしょうか・・? 初歩的な質問かもしれませんが、どうぞご教授ください。 よろしくおねがいします。

質問者が選んだベストアンサー

  • ベストアンサー
  • hirasaku
  • ベストアンサー率65% (106/163)
回答No.4

こんにちは。hirasakuです。 そうだったんですか。TESTだったんですね。 それでしたら、ルーターAでこんな感じでしょうか。 ip route default gateway ルーターBのLAN2アドレス ip lan1 address 192.168.0.1/24 ip lan2 address 172.16.0.1/16 ip lan2 secure filter in 10 11 12 ip lan2 nat descriptor 1 ip filter 10 reject 192.168.0.0/24 * * * * ip filter 11 pass * 192.168.0.0/24 icmp * * ip filter 12 pass * 192.168.0.0/24 established * * nat descriptor type 1 masquerade nat descriptor address outer 1 172.16.0.1 nat descriptor address inner 1 192.168.0.1-192.168.0.254 10のフィルターでなりすまし防止 11のフィルターはPINGなどを通す 12のフィルターはLAN1内からTCPセッションを張りに行ったやつの帰りを通す。 この場合、外(LAN2)からのを防ぐのでLAN2にフィルターをかけます。 LAN1に対してはフィルターをかけてないのでin out すべて通します。 ルーターBはアドレスを変えるだけでいいと思いますよ。 接続形態にもよりますけど、PPPoEを使うならPPPoEの設定をして pp インターフェースにフィルターをかけます。 実際には ip filter source-route on ip filter directed-broadcast on や、ident、ftp、dnsを通すフィルターなど用途に合わせて通すようにします。 では。

yu0614
質問者

お礼

度々、本当にありがとうございます。 1から丁寧な設定を教えていただき、とても参考になりました。 その後、何度か設定を変えたりしているうちになぜか、ちゃんと遮断・通過できるようになりました。 NATがうまくかかっていなかったのが原因かな???と、思っています。 どちらにしても、何が原因だったのかもう1度最初から見直すつもりです。 今後色々な設定をしていく上で、hirasakuさんの回答はとても参考になりました。 何かありましたらまた、よろしくおねがいします。 ありがとうございました。

その他の回答 (3)

  • hirasaku
  • ベストアンサー率65% (106/163)
回答No.3

こんにちは。hirasakuです。 割り込んじゃって申し訳ないですが、 これって、RTX1000をローカルルーターとして使うんですよね。 この場合、1台で事足りてしまうような・・・ LANインターフェース3つ持ってますから。 まぁ、それはさておき、 ip spoofingのフィルタはWAN側からのなりすましに対してなのでローカルルーターとして使うのならいらない気がしますけど。 ローカルなんだからなりすましもないと思いますけどね。 しかしながら、どうしてもというのであれば、 10.0.0.0/8 はプライベートAクラスのなりすましに対して 172.16.0.0/12 はプライベートBクラスに対して 192.168.0.0/16 はプライベートCクラスに対して YAMAHAさんはユーザーがどのクラスのプライベートを使うのかわからないため、すべてのクラスのなりすましに対してフィルターをかけてます。 それが設定例集の載ってるんだと思いますよ。 すべてのパケットが通らないのは、ip インターフェイス secuer finter のコマンドを有効にした場合、暗黙のすべて reject が入ります。 なので、フィルターの最後にすべて通す ip filter 番号 pass * * * * * をインターフェースのフィルターに定義します。 in と out を混ぜてフィルターをかけるとこんがらがるので、この場合、インターフェースの対して in のフィルターで、外に出さない reject を使って統一したほうがわかりやすいと思いますよ。 では。

yu0614
質問者

お礼

専門家さんからの回答、ありがとうございます。 今のところはローカルの環境で行っていますが、外側に出すためのテストなので インターネットを仮に172.***のローカルネットワークとして実験しています。 ローカルのIPにフィルタをかけるという理由、よくわかりました。 ありがとうございます。 それから、私の書き方が悪く全ての設定を載せなかったのですが、 全てのデータを通すpass ***** も入力してあるのです。 ちなみに、実際使っている(1)と(2)のIPである 192.168.0.0/24 192.168.1.0/24 もrejectのフィルタをかけていますが、これは全然大丈夫で遮断されないでいます。 (wan側に出るのにnatをかけています) すいません、また何かアドバイスがあればご教授いただけますか。 どうぞよろしくおねがいします。

  • root139
  • ベストアンサー率60% (488/809)
回答No.2

まず、10.0.0.0/8 ですが、これはクラスAのプライベート用のIPアドレスですね。おそらく、参照されている本のサンプルのネットワークがクラスAのプライベートアドレスを使っているからかと。 したがって、今回の件に関しては設定する必要は無いと思います。影響も無いですが。 ですので、以下の説明では、10.0.0.0/8に関する部分を省きました。 > ip filter 2 reject 192.168.0.0/16 * * * * > ip filter 4 reject * 192.168.0.0/16 * * * > > ip lan2 secure filter in 2 > ip lan2 secure filter out 4 フィルタリングの方向ですが、RTシリーズでは、たしか、下記の様になっていたと思いますので、この様な前提でお話させていただきます。 (lan2側から見るとinとoutが逆転しているのでよく間違えてしまいます。(^^;) in : lan2からルータへ入ってくるパケット out: ルータからlan2へ出て行くパケット 上記の設定では↓の様な状態になっていると思います。 ◆ lan2 → 他のネットワーク   送信元が192.168.~.~のパケットが破棄される。 ◆ 他のネットワーク → lan2   送信先が192.168.~.~のパケットが破棄される。 以上のことから、もし、lan2が192.168.~.~のネットワークであれば通信が出来なくなります。 成りすましは、該当ネットワークへ外部から送られてくるパケットの送信元が、該当ネットワーク内のアドレスになっていますので、この様なパケットを破棄すれば良いことになります。 例) lan2が192.168.1.0/24の場合 --------------------- ip filter 1 reject 192.168.1.0/24 * * * * ip lan2 secure filter out 1 ・・・・ ---------------------------------------------------- 下記のページにRTシリーズの成りすましに対処するフィルタの説明が有ります。 http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-spoofing-filter.html 参考URLは、フィルタリング全般の説明です。

参考URL:
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-packet-filter.html
yu0614
質問者

お礼

ありがとうございます。 10.0.0.0/8を引きずりますが、このネットワークは参照している本の どこにも使われていないアドレスなんです。 ちなみに、lan2に入ってくるIPは172.***なので今回の設定には 関係ないし、当然遮断されないものと思っていました。 難しいですね、参考URLをじっくり拝見します。 ありがとうございました。

  • root139
  • ベストアンサー率60% (488/809)
回答No.1

フィルタリングの方向の設定なども教えて頂けますでしょうか? 例えば、ルータAに192.168.0.0/16から来るパケットを両方向とも破棄する設定をすると、(1)からのパケットはレスポンスも含めて全て遮断されるので、通信ができない状態になりますよね。おそらく、(3)→(1)の方向のみに設定されているのだと思います。 RTX1000でしたら、下記の様なコマンドで設定されていると思いますが、該当する部分のコマンドを書いていただいても良いです。 ip filter 1 reject 192.168.0.0/16 * * * * ip filter 2 reject 172.16.0.0/12 * * * * pp select 1 ip pp secure filter in 1 ・・・ ip pp secure filter out 2 ・・・ また、10.0.0.0/8 に該当するネットワークは見当たりませんが、これをフィルタリングするのはなぜでしょうか?

参考URL:
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/network-security-filter.html
yu0614
質問者

補足

早速ありがとうございます。 ココの部分だけ設定を書き出して見ます。 ip filter 1 reject 10.0.0.0/8 * * * * ip filter 2 reject 192.168.0.0/16 * * * * ip filter 3 reject * 10.0.0.0/8 * * * ip filter 4 reject * 192.168.0.0/16 * * * ip lan2 secure filter in 1 2 ip lan2 secure filter out 3 4 のようにしています。 10.0.0.0/8の設定ですが、実は私も??です。スミマセン~~!! 今回本を見ながら設定を試しているのですが、この本にそのように書いてあったので そのまま入力してみています。 ですが、(3)→(1) にしても (3)→(2) にしても、 このアドレスには該当しないのでrejectされずにpassするのではないかなぁ、 と思っています。 逆に教えていただきたいのですが、このようなIPのネットワークを わざわざ遮断する必要はあるのでしょうか?? 便乗質問で申し訳ありません。。。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • ファイアウォールの設定ができません

    不正進入対策/ネットワーク管理からパーソナルファイアウォールに行きたいのですが、「設定の読み込みに失敗しました」と出ます。 これでは設定の変更ができません。誰か力を貸して下さい。

  • ルーターとファイアーウォールソフトについて

    まだネット初心者ですが、サーバー公開をしようとしてます。 よろしくお願いします。 よくPCのセキュリティ対策として、ファイアーウォールソフト(ソフトでの対策)を使うかルーター(物理的/ハード的な対策)を使うか‥という選択肢の話を聞きます。 (今回はウィルス対策は質問から外します) ファイアーウォールソフトの場合は、PCへのアクセスやPCから外へのアクセスを制御する方法だと理解しているのですが、ルーターの場合はどうやって外部からの進入を具体的に防いでいるのですか? ルーターでLAN側のIPアドレスを隠しているとしても、LAN上のサーバーなどに割り当てられているIP(192.168.1.2などよく出て来るIPですよね?)に加えて他に仮定したIPて内部に侵入する事は、ハッカーなどはしないものなんでしょうか? ちょっと意味の解らない質問かも知れませんが、少しネットワークの本を読んでいた時に疑問に思った事です。なぜローカルIPがこんなふうに判っているのにルーターで進入を防止できるのか解りません。 知識がまだまだ十分でないので答えて頂くのに面倒かと思いますが、素朴な質問です。よろしくお願いします。 また例えば、サーバーの公開において、ルーターとウィルスソフトという組み合わせでも大丈夫なんでしょうか? ファイアーウォールソフトを使わないという選択肢です。

  • ルータの設定(YAMAHA)について質問です。その2

    ルータの設定(YAMAHA)について質問です。その2 YAMAHAのルータ(RTX1200)を使用してインターネット接続設定をしています。 以下のような環境にしたいのですが設定をどうすればいいかわかりません。 ONU-------ルータ1--------ルータ2    (192.168.1.0/24)   (192.168.2.0/24)        |         |        PC        PC 現在YAMAHAのサイトのコマンドリファレンスを見ながらルータ1台でのインターネット接続はできたのですが2台使って 経路制御をしたい際の設定がわかりません。どういったコマンドを入れればいいかわかる方お願いいたします。 以上よろしくお願いします。

  • ローカルルータの設定について

    現在、L3スイッチの導入までのつなぎとしてローカルルータの設置を検討しています。 いろいろ試しましたが、ルータまではpingで疎通できるものの、接続されたパソコンへは疎通できません。 なお、どちらのLANもネットに接続しない閉鎖環境です。 以下環境です。 yamaha RTX1200を2台準備し、双方初期化した上で、 pc1 192.168.1.100(ルータA・LAN1に接続) ルータA LAN1 192.168.1.254 LAN2 192.168.100.1 ルータB LAN1 192.168.2.254 LAN2 192.168.100.2 pc2 192.168.2.100(ルータB・LAN1に接続) 以上設定し、AB両ルータにスタティックルートを設定しました。 結果、pc1よりpingでルータBのLAN1 LAN2双方疎通しますが、pc2には通りません。 逆にpc2からpingでルータAのLAN1 LAN2双方疎通しますが、pc1には通りません。 心当たりがございましたら、教えて頂ければ幸いです。

  • RTXとIXルータのVPN設定について

    センタールータとしてNEC IXルータがあるフレッツVPN環境にYAMAHA RTXを追加しようと考えております。 IXルータはtunnelモードとしてGREと利用しております。 この時のRTXの設定方法に困っております。 異メーカー同士での設定が初な為設定方法ご存じな方がおられましたら教えて頂けないでしょうか。

  • YAMAHA RTX1100ルータ設定方法について

    YAMAHA RTX1100ルータ設定方法について 現在、RTX1100ルータを利用しておりますが、社屋の移転に伴い新居地でのプロバイダー情報に変更する必要があるかと思いますが、どのような変更をすれば良いかわかりません。以前は現在連絡が取れないエンジニアの方に設定して頂いたのですが、詳しいものが回りでいない為ご教授ください。 宜しくお願いいたします。

  • ルータの設定について

    ルータの設定について D-LINKのDIR-300というルータを会社で使っているのですが、社員が ダウンロードソフトを使って私的な物をダウンロード出来ないようポート 遮断を行いたいのですが、Manualも英語ですし、Networkに疎い私には どのように設定すればいいのか分からずに困っております。 (多分FireWallのところで設定すればいいのかなと思っていますがどの様 に設定すればいいのかわからないのです。) 今、分かっている遮断したいポートは TCP・UDP共に 19040 なのですが、できたら、インターネット・メール・ メッセンジャー以外に使用するポートは全て遮断できればベストなのですが。。 ManualのURLも載せておきます。 http://www.dlink.com.au/tech/Download/download.aspx?product=DIR-300 何卒よろしくお願い致します。

  • ルーターの設定

    はじめまして、現在会社にてYAMAHAのルーターRTX1000を購入して設定しようとしているのですがpppoe接続すらできません><  用途的にはリモートアクセスVPNによるファイルの共有をしたいのですがどなたか設定例を教えてはいただけませんか? ちなみにYAMAHAのサイトの設定例を丸写ししてみたのですがつながりませんでした、もしかしてモデムの設定が間違っているのかもしれません。。。

  • ルーターからルーターの接続について!!

    職場では現在、図1の構成でネットワークPCがインターネットを利用出来るようにしていますが今回シマンテックのGatewaySecurity320というルーターを購入設置してウィルスソフト管理の一本化やアクセス管理をしようと考えています、そこでこのGatewaySecurity320をIP192.168.2.5に設定して図2の様に構成しましたがネットに繋がりません、図1の構成は業者任せでやってもらいましたが今回の設置は自分でやろうと思います、がどこが悪いかやルーターの設定等まだ知識不足でどうやってやってよいか正直分かりません。この場合はこうする等のアドバイスやルーター設定例等、分かる方是非ご教授お願いします!! こちらの不足している情報がありましたら随時お答えします。 【図1】 Bフレッツ終端装置    | YAMAHA RTX1100(192.168.2.1)― RTX1100(192.168.3.1)    |                    |    ハブ                   ハブ    |                    |   各PC(192.168.2.100~150)   各PC(192.168.3.100~150) 【図2】 Bフレッツ終端装置    | GatewaySecurity320(192.168.2.5)    | YAMAHA RTX1100(192.168.2.1)― RTX1100(192.168.3.1)    |                   |    ハブ                  ハブ    |                   |   各PC(192.168.2.100~150)  各PC(192.168.3.100~150)

  • ルータでのファイアーウォール設定について質問!

    現在、家庭内でルータを使って2台のマシンをフレッツISDNで同時にインターネット接続しています。以下に、機種、接続環境の詳細を記します。 <ルータ> NetGenesis4 Std <TA> SUNTAC TS128NS(上記ルータにTA機能がついていないため、別途使用しています。) <マシン> Macデスクトップ と WindowsMeノート *ルータの設定はMacのほうで行いました。 ここで質問なんですが、 (1) MSNMessengerのボイスチャットをしたいのですが、相手がフレッツADSLの場合できません。それはこちら側のネットワーク環境、及び設定で何か不備があってできないのでしょうか? それとも相手側? (2) WindowsMeの方で、WinMXを使用しています。こちらの共有ファイルにたくさんの人がアクセスしてきているのですが、必ず接続エラーがでて、DLできていないようなんです。逆にこちらから、他の人達のファイルをDLする事は問題なくできます。 (1)、(2)共、私の勝手な憶測ですが、こちら側のファイアウォールの設定に関係しているのではないかと思っているのです。 ルータでファイアウォール機能がついているものがあると聞きましたが、現在使用しているルータは初期設定のままで、特別に設定はしてないはずなんですが・・・ このような問題を抱えている方、また、原因、解決法がお分かりになる方がいらっしゃいましたら、是非回答をお願いします! 

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する