• ベストアンサー
  • 困ってます

RTX1200の設定について

最近、中古のRTX1200を入手し、 ヤマハのサイトにあるRTX1200の設定例 「自社サーバーを公開(1つの固定グローバルIPアドレス / DMZセグメント : LAN3) : コマンド設定」 http://jp.yamaha.com/products/network/solution/internet/server/ を参考に設定しています。 設定例ではサーバーメンテナンス用にtelnetの通信を通すフィルタを LAN側(192.168.0.0)からDMZ側(192.168.10.0/24)へ ip filter dynamic 200 192.168.0.0/24 * telnet ip lan3 secure filter out 3000 dynamic 100 101 200 のようにしていますが、 当方SSHをポート44444(例)に変更して使用しているため ip filter dynamic 200 192.168.0.0/24 * tcp のように直してみました。 こう設定すればLAN側からDMZ側へターミナルソフトにてSSH接続出来るにはできるのですが、 接続完了まで10秒近くかかってしまいます。 ちなみに、 ip lan3 secure filter in 2000 ip filter 2000 reject * * を設定しなければ、瞬時に接続が完了します。 単純に ip filter dynamic 200 192.168.0.0/24 * telnet を ip filter dynamic 200 192.168.0.0/24 * tcp に直せばいいという問題ではないのでしょうか? 根本的になにか間違えているのでしょうか? ヒントでも構いません。 ご教示いただければ幸いです。

共感・応援の気持ちを伝えよう!

  • 回答数12
  • 閲覧数1821
  • ありがとう数3

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.12

こんにちは。hirasaku です。 LAN側からDMZ側へNATする必要はまったくないと思われますが。 SSHを動かしているサーバのOSが書いていないので予測になりますが・・・ CentOSの例で書きますけど、SSHDは接続してきた端末をDNSに逆引きしにいく動きをします。 LAN3のINでALL RejectするとそのDNSの問い合わせが通過できないので、 問い合わせに対してTime out するまで待ってしまいます。 それがクライアントが接続まで待たされる時間になっているのでは。 で、対応ですが、 sshd_config のUseDNSをnoに設定してSSHDをリスタートすれば大丈夫では。 SSHの待ちうけポートを変えているということで、 ip filter pass で tcp * 待ちうけポート ip filter dynamic 192.168.xxx.xxx/24 * filter 番号 in を設定すれば行けるのでは。 in でだめなら out にしてみる。 でどうでしょう。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

OSはCentOS 6.7です。 >sshd_config のUseDNSをnoに設定してSSHDをリスタートすれば大丈夫では。 この通りにしたところ、すんなり一瞬で接続できるようになりました。 >LAN3のINでALL RejectするとそのDNSの問い合わせが通過できないので、 >問い合わせに対してTime out するまで待ってしまいます。 なるほど!とてもすっきりしました。 WAN側の話は関係ないと思っていたのですが、DNSの問い合わせに必要だったのですね… ご回答頂きました皆様、本当にありがとうございました。

質問者からの補足

ありがとうございます。 ご回答頂いた内容で後日、試してみたいと思います。 結果はまたこちらに記入させて頂きます。

関連するQ&A

  • RTX1100のセキュリティー設定について

    RTX1100の設定なんですが、 たとえば、 Telnetは192.168.200.123しか通してないはずなのですが、 192.168.200.76にTELNETが出来てしまいます。 どなたかご教授願えませんか?今晩設置なんで少々焦っています。 ip lan1 address 192.168.200.1/24 ip lan1 secure filter in 2 3 4 1 dynamic 25 26 30 31 ip lan1 secure filter out dynamic 2 3 6 4 5 25 ip lan2 address 192.168.100.8/24 ip filter 1 reject * * * * * ip filter 2 pass * * icmp * * ip filter 3 reject * 192.168.200.123 established * telnet,www,ftpdata-21,smtp ip filter 4 pass * 192.168.200.123 tcp,udp * telnet,www,ftpdata-21,smtp ip filter 105 pass * * tcp 22 22 ip filter dynamic 2 * * telnet ip filter dynamic 3 * * www ip filter dynamic 4 * * tcp ip filter dynamic 5 * * udp ip filter dynamic 6 * * ftp ip filter dynamic 25 * * filter 105 ip filter dynamic 26 * 192.168.200.123 ftp ip filter dynamic 30 * 192.168.200.123 tcp ip filter dynamic 31 * 192.168.200.123 udp

  • RTX1200のDMZ側からネット接続するには

    YAMAHAルータRTX1200で、 DMZに置いてあるWWWサーバーからインターネット接続とPOP3接続が出来ないので質問させて頂きます。 セキュリティを高めるため、DMZ側のWWWサーバーが外部のインターネットを閲覧できる必要性はないのですが、 利便性とダイナミックDNSを更新するために、WWWとPOP3接続を試みてます。 <現状> ※以下に現状のコンフィグを記します。 LAN1:社内LAN 接続OK LAN2:動的グローバルIP 接続OK LAN3:DMZ WWWサーバー 外部より接続(閲覧)OK <理由> WAN側が、動的グローバルIPですので、 ダイナミックDNSを利用してます。 http://www.mydns.jp/?MENU=040 WAN側のIPが変わった際に、POP3を定期的に走らせて IPを通知する仕組みになっているようなので、 DMZ側のWWWサーバーにメーラーを常駐させようと考えております。 LAN1側のクライアントPCに、上記のメーラー設定をすれば 解決しそうですが、DMZ側のWWWサーバーで実現しよと試みております。。 ip lan3 secure filter や ip pp secure filter に、 フィルターの追加や適応を試みてみましたが うまく行きませんでした。。 ご回答、 どうぞ宜しくお願い致します。 ---------------------------------------------------------------- ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.100.1/24 ip lan3 address 192.168.131.1/29 ip lan3 secure filter in 2000 ip lan3 secure filter out 3000 dynamic 100 101 200 pp select 1 description pp FLETS pp keepalive use off pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname 【ユーザーID】 【パスワード】 ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 ip pp intrusion detection in on ip pp nat descriptor 1 pp enable 1 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.100.0/24 * ip filter 1030 pass * 192.168.100.0/24 icmp ip filter 1031 pass * 192.168.131.2 tcpflag=0x0002/0x0fff * www ip filter 1032 pass * 192.168.131.3 tcpflag=0x0002/0x0fff * 21 ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp ip filter dynamic 200 192.168.100.0/24 * telnet ip filter dynamic 201 * 192.168.131.2 www ip filter dynamic 202 * 192.168.131.3 ftp nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.131.2 tcp www nat descriptor masquerade static 1 2 192.168.131.3 tcp 21 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.2-192.168.100.191/24 dns server 210.191.71.1 dns private address spoof on

  • ヤマハ RTX1100 フィルタ設定

    オークションにて、安くRTX1100を手に入れたのですが、 フィルタ設定について不安が残ります。 (現在、PPPoEと、VPN設定はなんとか設定できて、運用しています) ヤマハ サイトのこの辺りをみて丸パクリで、フィルタ設定を書きました。 http://jp.yamaha.com/products/network/solution/vpn/multiple_network/internet_vpn/ 外部からポートスキャンかけた所、25, 80, 110, 143ポートが開いていると 結果が返ってきます。 サーバは一切公開していないので、上記ポートを閉じたいのですが、 in フィルタで、「ip filter 2000 reject * *」となっているため、 閉じられていると思うのですが認識が間違っていますか? 現在の設定は以下です。 pp select 1 ip pp secure filter in 1020 1030 1040 1041 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 ip filter source-route on ip filter directed-broadcast on ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/24 * ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 1040 pass * 192.168.0.254 udp * 500 ip filter 1041 pass * 192.168.0.254 esp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * netmeeting ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp すみませんが、ポートの閉じ方を教えて頂けますでしょうか。

その他の回答 (11)

  • 回答No.11

 以下参考になれば。  SSH及びrlogin,rcpをポート変換対象外にするコマンドです。  「nat descriptor masquerade rlogin 1 on」  ※ エントリー1は、NATエントリーに併せて、数値を変えて頂ければと存じます。  追加で、192.168.0.0/24から、192.168.10.***へ特定・静的ルーティングさせたい場合には、下記を参考に。  ※ ip route 192.168.0.0/24 gateway 192.168.10.1   192.168.0.0/24の部分は、SSHコンソール管理をする端末のIPを限定させる場合には、「192.168.0.***/32」になるかと考えます。

共感・感謝の気持ちを伝えよう!

  • 回答No.10

 要は、サーバへの通信遅延を気にされているんですよね?  NATの接続経路も含めてIPフィルタの挙動を判断しませんと、適切なNATとIPフィルタの構成は出来ませんよ。  192.168.0.0/24と192.168.10.0/24の通信を、別NATルールを設け、直接通信出来る形にしませんと、サーバへの受付待機時間の短縮は出来ません。  ポートの開け閉めだけでは、意味が無いです。

共感・感謝の気持ちを伝えよう!

  • 回答No.9

 「私の質問にも、提示したヤマハの設定例でも、telnetに関して  ・WAN側にどうこう  ・WAN側からどうこう  という設定はないと思うのですが、  なぜWAN側の話が出てくるのか?」  ↑ の件ですが、Yamaha設定例をよく見てみて下さい。  192.168.10.***のDMZのサーバに相当します、サーバの通信がどういう経路で通信されているかのルートを設定例では、グローバルIPへ出る形になっている要素を考慮下さい。  192.168.0.***の端末が、アクセスする際に、同じグローバルIPへ通信が出て、折り返しグローバルIPへ通信されてきたSSH(Telnet)通信が、特定サーバへ転送されて着信されるとイメージ下さい。    その際にどういうNAPT設定が必要か、IPフィルタをどのフィルタをpass及びrejectするか、設定例を見れば一目瞭然かと。    LAN1とLAN3が、同じNAPTを利用していますよ。  ip filter dynamic(192.168.10.***網) から列挙されているフィルターは、DMZに配置しているサーバから通信が出た際に通信ポートをグローバルIP宛てに開けているだけ、192.168.0.0網からグローバルIP宛てに通信列挙されたip filter dynamicフィルタは、特定ポートをグローバルIP宛てに開けているだけの設定例になっていますよ。  よって、192.168.0.0から直接192.168.10.0へプライベートIP同士アクセスしているわけではありません。もし、プライベートIP同士直接参照させたい場合には、それぞれ静的ルーティング設定をするか、(192.168.0.0から見て)192.168.10.***を静的NAT扱いにするしかありませんよ。  

共感・感謝の気持ちを伝えよう!

質問者からの補足

お教え頂いた内容は、 (1) ヤマハの設定例(注釈6)   「WWWサーバーとFTPサーバーをメンテナンスするために使うtelnetの通信」は、   WANのインタフェースを通してやり取りされている。 (2) 上記の場合、サーバへの通信遅延が発生する   (設定例のtelnet通信でも、私がいま直面しているようなタイムラグが発生する) (3) 通信遅延を考えるなら別途、   LAN側からDMZ側への静的NAT設定(プライベートIP同士直接参照させる)が必要である。 上記で合っておりますでしょうか? >その際にどういうNAPT設定が必要か、IPフィルタをどのフィルタをpass及びrejectするか、 >設定例を見れば一目瞭然かと。 一目瞭然ではないのです。初心者ですので… まず、知識がないのは私のほうなのに横柄な態度をとってしまい、 ご回答頂いた皆様には大変申し訳ございませんでした。 ~・~・~・~・~・~・~・~・~・~・~・~・~・~・~・~・~ ヤマハの設定例で遅延なくtelnet接続できるものと考え、なぜSSHだと出来ないのか? ip filter 2000 reject * * を外せば瞬時に接続できるようになったため、 ip lan3 secure filter in 2000 ip lan3 secure filter out 3000 dynamic 100 101 200 で ip filter dynamic 200 192.168.0.0/24 * tcp でもまだなにか通っていない必要なポートがあるのか? などと考えてしまい、今回の質問をさせていただきました。 そして、知識のない私の頭で ・ WAN側もローカルIPな環境にしても同じようなタイムラグが発生する ・ ヤマハ設定例の静的フィルターreject(ip filter 2000 reject * *)しなければ瞬時に接続できる ことから、上記(2)と(3)は違うのではないか?と思ってしまったのです。 ~・~・~・~・~・~・~・~・~・~・~・~・~・~・~・~・~

  • 回答No.8

192.168.0.0/24のセグメントからWAN側へTELNET通信が出て、折り返し通信としてWANからDMZホストの192.168.10.0/24へアクセスするという点については、IPフィルタの要素だけでは無く、IPループバックの要素の考えも必要です。  ※ http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/nat-abstruct.html  

共感・感謝の気持ちを伝えよう!

質問者からの補足

恥かきついでに… 私の質問にも、提示したヤマハの設定例でも、 telnetに関して ・WAN側にどうこう ・WAN側からどうこう という設定はないと思うのですが、 なぜWAN側の話が出てくるのか? 今の私にはそれが理解できないのです。 先ずはお教え頂いたURLをよく読んで、勉強したいと思います。

  • 回答No.7

 「なぜ22番ポートの話が出てくるのでしょうか?」    ↑ Yamahaルーターの搭載OS仕様・機能として、デフォルトでSSH22番になっている為です。  それを、任意環境でポートを変えようとしているんですよね?    「ip filter dynamic 200 192.168.0.0/24 * telnet」→「ip filter dynamic 200 192.168.0.0/24 * tcp」では、ルーターOSのデフォルトポートの概念を無視していますよ。  まして、192.168.10.***へのアクセスのために、静的IP-NAPTにて、192.168.10.***を解放する様にされているんですよね?  Yamaha例で言えば、「ip filter dynamic 202 * 192.168.10.*** 44444」→「nat descriptor masquerade static 1 1 192.168.10.2 tcp 44444」のouter側のアドレスが、192.168.0.***とアクセス出来るセグメントでなければ、通信出来ないのは必定ですよね?  Yamaha例は、理解していますよ。  通常はDMZホストにおいている、SSHサーバは、IPとポートを同時転送ではなく、192.168.0.***と通信可能なセグメントへ静的NATするのが、通例だと考えますよ。

共感・感謝の気持ちを伝えよう!

質問者からの補足

>それに併せて、アクセス先ポートの変更もしていますよね? していません。 22ポートでサーバーの44444ポートに転送するとは言っていません。 はなから44444ポートへのSSH接続です。 分かりずらかったなら申し訳ございません。 つまり、私の提示したヤマハの設定例について、 ・そのままではtelnet接続できない。少なくともLAN側からDMZ側への静的NAT設定の追加が必要。 ということでしょうか? 私の質問は、 「提示したヤマハの設定例のみで問題なくtelnet接続が可能であることが前提」 でしたので、そうでないということでしたらそこからして私の勉強不足ですね。申し訳ございません。

  • 回答No.6

 補足です。  LAN1の192.168.0.0/24グループから、192.168.10.0/24グループへアクセスですよね?  それに併せて、アクセス先ポートの変更もしていますよね?    その時点で単なるフィルタではなく、LAN1に対するNATモードは自ずと決定されますよね?  デフォルトで22番のポートからのアクセスに、44444ポートへ転送する様にしないといけない点、ポート以外にIPセグメントの変換を考えれば、フィルタ以外のルールでNAT-IP変換しませんと、フィルタだけでは困難です。  Yamaha設定例では、そのルーティングやNAT-IPの関連づけまでは、考慮された物ではありません。

共感・感謝の気持ちを伝えよう!

質問者からの補足

なぜ22番ポートの話が出てくるのでしょうか? ご回答いただく立場ではありますが、 私の質問と提示したYamaha設定例をご覧になってから回答頂きたいです。

  • 回答No.5

「LAN1の端末をWAN側へ静的NATし、192.168.10.254/24します。 なら、p pp nat descriptor 1 ではないでしょうか?」  ↑の件ですが、WAN側インターフェイスのConfigや利用NATモードなどの具体Configが無いので、設定例になります。  自身で、環境に沿ったものに変更し、対応して下さい。  Yamahaの仕様では、LAN1からLAN3へは、任意にルーティング設定が反映するわけでは無いので、無理では?

共感・感謝の気持ちを伝えよう!

質問者からの補足

>Yamahaの仕様では、LAN1からLAN3へは、任意にルーティング設定が反映するわけでは無いので、無理では? では、ヤマハの設定例ではtelnetでサーバーに通信できないと?

  • 回答No.4

 考え方を変えて頂き、IPフィルタの規制・パス設定ではなく、静的ルーティングさせるしか無いのでは?  例えば、LAN1アドレスを192.168.0.1/24、LAN3アドレスを192.168.10.1/24とします。  LAN1の端末をWAN側へ静的NATし、192.168.10.254/24します。  LAN3に接続しているサーバのIPが、192.168.10.253/24であれば、192.168.10.254から、指定ポートへSSH接続出来るかと考えますが。  例 ip lan1 address 192.168.0.1/24    ip lan3 address 192.168.10.1/24    ip routing on    ip lan1 nat descriptor 1    nat descriptor type 1 nat    nat descriptor address outer 1 192.168.0.254    nat descriptor static 1 1 192.168.0.254=192.168.10.254

共感・感謝の気持ちを伝えよう!

質問者からの補足

>考え方を変えて頂き、IPフィルタの規制・パス設定ではなく、静的ルーティングさせるしか無いのでは? 最初、質問に >ip lan3 secure filter in 2000 >ip filter 2000 reject * * >を設定しなければ、瞬時に接続が完了します。 と記載いたしましたとおり、 設定例において、IPフィルタの規制を行わないのであれば その時点でWAN側への静的NATなど設定せずとも 問題なく(タイムラグも発生せず)サーバの指定ポートへSSH接続出来ております。 私の質問の仕方が悪かったかもしれません。 私が知りたいのは、 「サーバーへ通信出来る方法をなんでもいいので教えてください」 ではなく、 「設定例のtelnetで出来ることがそのままSSHで出来ないのはなぜなのか?」 ということなのです。 LAN側からDMZ側への接続の問題なのです。 申し訳ございません。 p.s. WAN側 pp LAN側 lan1 DMZ側 lan3 >LAN1の端末をWAN側へ静的NATし、192.168.10.254/24します。 なら >ip pp nat descriptor 1 ではないでしょうか?

  • 回答No.3

 「ip filter 2000 pass * * 44444」→「ip filter dynamic 200 * * filter 2000」   「nat descriptor masquerade static 1 1 192.168.10.*** tcp 22=44444」  ↑のような形になるのでは?  

共感・感謝の気持ちを伝えよう!

質問者からの補足

回答ありがとうございます。 >「ip filter 2000 pass * * 44444」→「ip filter dynamic 200 * * filter 2000」 ヤマハの設定例のように、 LAN側セグメントを保護しながら、DMZセグメントでサーバーを公開することが目的ですので、 「ip filter 2000 reject * *」 を 「ip filter 2000 pass * * 44444」 に変更するのはちょっと違うと思うのですが… それとも >「ip filter 2000 reject * *」 は残しておいて、 >「ip filter 2010 pass * * 44444」→「ip filter dynamic 200 * * filter 2010」 という意味でしょうか? これで試してみましたが、現象変わらずでした。 >「nat descriptor masquerade static 1 1 192.168.10.*** tcp 22=44444」 これは、WAN側のポート22からDMZ側サーバーのポート44444に SSHでアクセスできるようにするための設定ですよね? 私が求めているのは、ヤマハの設定例(注釈6)のような LAN側(192.168.0.0/24)からDMZ側(192.168.10.0/24)への SSH接続(ポート44444)なのです。 なにかいろいろと勘違いしていたらすみません >_<

  • 回答No.2
  • ambriel
  • ベストアンサー率51% (65/127)

http://www.rtpro.yamaha.co.jp/RT/docs/firewall/ 「コネクションの最初のパケットだけは、静的なフィルタで制御できます」なので、 最初は静的フィルターでrejectされつつ動的フィルター生成、10秒後にSSH接続アプリがリトライした時に動的フィルターでpassされて接続完了 みたいな挙動になっているのでは?

共感・感謝の気持ちを伝えよう!

質問者からの補足

動的フィルタを生成するまでに実用上のタイムラグがあるということでしょうか? 上記URLは私も拝見済みですが、 最初のパケットは静的フィルタで通して以降は動的フィルタを使用する、 というだけで、タイムラグが発生するような認識はなかったのですが… もしそうなら設定例で、 「WWWサーバーとFTPサーバーをメンテナンスする」 場合にも、タイムラグが発生したりするのでしょうか?

関連するQ&A

  • 再度RTX1200の設定(8IP)についてです

    昨年末、RTX1200に8IPの動作を質問し、沢山のアドバイスを頂いた者です。 再挑戦に向け準備に手を付けましたので、引き続きご指南頂ければ幸いです。 条件は恐縮ですが先の質問「8個のグローバルIPをRTX1200に設定したい」を参照お願いします。 内側のLAN1は手を入れず、そのまま素通しとしてWAN側のPPPoEのフィルタで希望するサーバ等に アドレスとポートを割り振ったつもりです。 pp select 1 description pp "PRV/PPPoE/0:NTT-ME 8IP" pppoe use lan3 ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ccp type none ip pp address aaa.bbb.ccc.120/29 ip pp mtu 1500 ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200031 200040 200041 200042 200043 200044 200045 200080 200081 ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200099 dynamic 200080 200081 200082 200083 200084 200098 200099 ip pp nat descriptor 1000 pp enable 1 ip filter 200000 reject 10.0.0.0/8 * * * * ip filter 200001 reject 172.16.0.0/12 * * * * ip filter 200002 reject 192.168.0.0/16 * * * * ip filter 200003 reject 192.168.xxx.0/24 * * * * ip filter 200010 reject * 10.0.0.0/8 * * * ip filter 200011 reject * 172.16.0.0/12 * * * ip filter 200012 reject * 192.168.0.0/16 * * * ip filter 200013 reject * 192.168.xxx.0/24 * * * ip filter 200020 reject * * udp,tcp 135 * ip filter 200021 reject * * udp,tcp * 135 ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 200024 reject * * udp,tcp 445 * ip filter 200025 reject * * udp,tcp * 445 ip filter 200030 pass * 192.168.xxx.0/24 icmp * * ip filter 200031 pass * 192.168.xxx.0/24 established * * ip filter 200032 pass * 192.168.xxx.0/24 tcp * ident ip filter 200033 pass * 192.168.xxx.0/24 tcp ftpdata * ip filter 200034 pass * 192.168.xxx.0/24 tcp,udp * domain ip filter 200035 pass * 192.168.xxx.0/24 udp domain * ip filter 200036 pass * 192.168.xxx.0/24 udp * ntp ip filter 200037 pass * 192.168.xxx.0/24 udp ntp * ip filter 200040 pass * 192.168.xxx.230 tcp * 21,3389,49200,49500,49600 ip filter 200041 pass * 192.168.xxx.230 tcp,udp * domain,tftp ip filter 200042 pass * 192.168.xxx.231 tcp * 21,www,3389 ip filter 200043 pass * 192.168.xxx.14 tcp * 21,www,3389 ip filter 200044 pass * 192.168.xxx.41 tcp * 3389,9999 ip filter 200045 pass * 192.168.xxx.234 tcp * 21,www,3389 ip filter 200080 pass * 192.168.xxx.254 esp * * ip filter 200081 pass * 192.168.xxx.254 udp * 500 ip filter 200099 pass * * * * * ip filter dynamic 200080 * * ftp ip filter dynamic 200081 * * domain ip filter dynamic 200082 * * www ip filter dynamic 200083 * * smtp ip filter dynamic 200084 * * pop3 ip filter dynamic 200098 * * tcp ip filter dynamic 200099 * * udp nat descriptor type 1000 masquerade nat descriptor address outer 1000 aaa.bbb.ccc.121 nat descriptor address inner 1000 aaa.bbb.ccc.121 192.168.xxx.1-192.168.xxx.254 nat descriptor static 1000 10 aaa.bbb.ccc.122=192.168.xxx.230 2 nat descriptor static 1000 20 aaa.bbb.ccc.124=192.168.xxx.14 1 nat descriptor static 1000 30 aaa.bbb.ccc.125=192.168.xxx.41 1 nat descriptor static 1000 40 aaa.bbb.ccc.126=192.168.xxx.234 1 nat descriptor masquerade static 1000 101 192.168.xxx.254 udp 500 nat descriptor masquerade static 1000 102 192.168.xxx.254 esp こんな感じにしてみたのですが、根本的な間違いが無いかご指摘頂戴できれば幸いです。

  • RTX1100 でインターネット接続できない。DNS

    YAMAHAのRTX1100のconfigを設定しているのですが。Bフレッツを使用しています。 まず手始めにインターネットをしたいのですが。 YAHAMAの設定例をそのまま利用しているのですが。 http://netvolante.jp/solution/int/case3.html 変えた部分は、DNSのところで。 dns server (ISPより指定されたDNSサーバのIPアドレス)  ↓ dns server pp 1 としたのですが。接続できません。アドバイスなどをいただけたら幸いです。 実際のconfigはこちら ↓ ip lan1 address 192.168.0.1/24 pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname (ISPに接続するID) (ISPに接続するパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 ip route default gateway pp 1 nat descriptor type 1 masquerade dhcp service server dhcp scope 1 192.168.0.2-192.168.0.100/24 dns server pp 1 (<------ここを変更した) dns private address spoof on ip filter source-route on ip filter directed-broadcast on ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/24 * ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * netmeeting ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp pp select 1 ip pp secure filter in 1020 1030 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 pp enable 1

  • 8個のグローバルIPをRTX1200に設定したい

    ヤマハのRTX1200に8個のグローバルIP設定で行き詰ってます。 状況は以下のようなものです。  aaa.bbb.ccc.120/29 のグローバルアドレスの設定を目指してます  aaa.bbb.ccc.121 でLAN側(192.168.XXX.254/24) の端末がインター ネットの利用、VPNの設定は動作を確認済  aaa.bbb.ccc.122 ~ aaa.bbb.ccc.126 の5IPと、LAN側にある 特定端末(固定IP)5台を関連付けしたい ← これが全て通りません そこで試行錯誤し、設定したCONFIGが以下のようなものです。 ip route default gateway pp 1 ip lan1 address 192.168.XXX.254/24 ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099 ip lan3 nat descriptor 1 2 3 4 5 pp disable all pp select 1 description pp "PRV/PPPoE/0:NTT-ME 8IP" pppoe use lan3 ppp lcp mru on 1454 ip pp address aaa.bbb.ccc.120/29 ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200099 dynamic 200080 200081              200082 200083 200084 200098 200099 ip pp nat descriptor 1000 pp enable 1 ip filter 100000 reject * * udp,tcp 135 * ip filter 100001 reject * * udp,tcp * 135 ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm * ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm ip filter 100004 reject * * udp,tcp netbios_ssn * ip filter 100005 reject * * udp,tcp * netbios_ssn ip filter 100006 reject * * udp,tcp 445 * ip filter 100007 reject * * udp,tcp * 445 ip filter 100099 pass * * * * * ip filter 200000 reject 10.0.0.0/8 * * * * ip filter 200001 reject 172.16.0.0/12 * * * * ip filter 200002 reject 192.168.0.0/16 * * * * ip filter 200003 reject 192.168.XXX.0/24 * * * * ip filter 200010 reject * 10.0.0.0/8 * * * ip filter 200011 reject * 172.16.0.0/12 * * * ip filter 200012 reject * 192.168.0.0/16 * * * ip filter 200013 reject * 192.168.XXX.0/24 * * * ip filter 200020 reject * * udp,tcp 135 * ip filter 200021 reject * * udp,tcp * 135 ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 200024 reject * * udp,tcp 445 * ip filter 200025 reject * * udp,tcp * 445 ip filter 200030 pass * 192.168.xxx.0/24 icmp * * ip filter 200031 pass * 192.168.xxx.0/24 established * * ip filter 200032 pass * 192.168.xxx.0/24 tcp * ident ip filter 200033 pass * 192.168.xxx.0/24 tcp ftpdata * ip filter 200034 pass * 192.168.xxx.0/24 tcp,udp * domain ip filter 200035 pass * 192.168.xxx.0/24 udp domain * ip filter 200036 pass * 192.168.xxx.0/24 udp * ntp ip filter 200037 pass * 192.168.xxx.0/24 udp ntp * ip filter 200080 pass * 192.168.xxx.254 esp * * ip filter 200081 pass * 192.168.xxx.254 udp * 500 ip filter 200099 pass * * * * * ip filter 500000 restrict * * * * * ip filter dynamic 200080 * * ftp ip filter dynamic 200081 * * domain ip filter dynamic 200082 * * www ip filter dynamic 200083 * * smtp ip filter dynamic 200084 * * pop3 ip filter dynamic 200098 * * tcp ip filter dynamic 200099 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 aaa.bbb.ccc.122 nat descriptor masquerade static 1 1 192.168.xxx.230 tcp 21,3389,49200,49500,49600 nat descriptor masquerade static 1 2 192.168.xxx.230 udp domain,tftp nat descriptor type 2 masquerade nat descriptor address outer 2 aaa.bbb.ccc.123 nat descriptor masquerade static 2 1 192.168.xxx.231 tcp 21,www,3389 nat descriptor type 3 masquerade nat descriptor address outer 3 aaa.bbb.ccc.124 nat descriptor masquerade static 3 1 192.168.xxx.14 tcp 21,www,3389 nat descriptor type 4 masquerade nat descriptor address outer 4 aaa.bbb.ccc.125 nat descriptor masquerade static 4 1 192.168.xxx.41 tcp 3389,9999 nat descriptor type 5 masquerade nat descriptor address outer 5 aaa.bbb.ccc.126 nat descriptor masquerade static 5 1 192.168.xxx.234 tcp 21,www,3389 nat descriptor type 1000 masquerade nat descriptor address outer 1000 aaa.bbb.ccc.121 nat descriptor address inner 1000 aaa.bbb.ccc.121 192.168.xxx.1-192.168.xxx.254 nat descriptor masquerade static 1000 101 192.168.xxx.254 udp 500 nat descriptor masquerade static 1000 102 192.168.xxx.254 esp 何が間違っているのかも判らぬ状況なので、ご指摘を頂ければ幸いです。 宜しくお願い申し上げます。

  • RTX1200 L2TP/IPSec 見えない

    自宅のPCから、会社にある YAMAHA のルータ RTX1200 に L2TP/IPsec でVPN接続しようとしているのですが、 RTX1200のルータまでは接続できて、 RTX1200 へのpingは通るのですが、 その先のPCにpingが通らず、またtracert コマンドで確認しても RTX1200まではいくのですが、その先はタイムアウトします。 自宅PC ( IP : 192.168.0.51/24) (Win7 の標準のネットワーク接続でVPN設定)    |    |  [ルータ:NEC Aterm]    |    | ( INTERNET )    |    | WAN ( IP : DDNS )  [ルータ:NTT NXSM-4BRU-2]  udp 500,1701,4500 転送。 192.168.1.254    | LAN ( IP : 192.168.1.1/24)    |    | LAN2 ( IP : 192.168.1.254/24)  [ルータ:YAMAHA RTX1200]    | LAN1 ( IP : 192.168.11.1/24 )    | 会社PC ( IP : 192.168.11.100/24 ) RTX1200 CONFIG ファーム REV.10.1.48 ※テストのためフィルタを解除して全通し --------------------------------------------- ip route default gateway 192.168.1.1 ip route 192.168.1.0/24 gateway dhcp lan2 ip route 192.168.11.0/24 gateway dhcp lan1 tunnel 11 ip lan1 address 192.168.11.1/24 ip lan1 ospf area backbone ip lan1 proxyarp on ip lan1 secure filter in 1099 ip lan1 secure filter out 1099 ip lan2 address 192.168.1.254/24 ip lan2 rip send on version 2 ip lan2 ospf area backbone ip lan2 secure filter in 1099 ip lan2 secure filter out 1099 ip lan2 nat descriptor 1 ip lan2 proxyarp on pp disable all pp select anonymous pp bind tunnel11 pp auth request mschap-v2 pp auth username [user-id] [password] ppp ipcp ipaddress on ppp ipcp msext on ip pp remote address pool 192.168.11.51-192.168.11.59 ip pp mtu 1258 pp enable anonymous no tunnel enable all tunnel select 11 tunnel encapsulation l2tp ipsec tunnel 111 ipsec sa policy 111 11 esp aes-cbc sha-hmac ipsec ike keepalive use 11 off ipsec ike local address 11 192.168.11.1 ipsec ike nat-traversal 11 on ipsec ike pre-shared-key 11 text [公開キー] ipsec ike remote address 11 any l2tp tunnel disconnect time off l2tp keepalive use on 10 3 l2tp keepalive log on l2tp syslog on ip tunnel tcp mss limit auto tunnel enable 11 ip filter 1000 reject * * udp,tcp 135 * ip filter 1001 reject * * udp,tcp * 135 ip filter 1002 reject * * udp,tcp netbios_ns * ip filter 1003 reject * * udp,tcp * netbios_ns ip filter 1004 reject * * udp,tcp netbios_dgm * ip filter 1005 reject * * udp,tcp * netbios_dgm ip filter 1006 reject * * udp,tcp netbios_ssn * ip filter 1007 reject * * udp,tcp * netbios_ssn ip filter 1008 reject * * udp,tcp 445 * ip filter 1009 reject * * udp,tcp * 445 ip filter 1011 reject 192.168.11.0/24 * * * * ip filter 1012 reject * 192.168.11.0/24 * * * ip filter 1021 reject * * tcp * telnet ip filter 1022 reject * * udp * tftp ip filter 1030 pass * * icmp * * ip filter 1031 pass * * established * * ip filter 1032 pass * * tcp * ident ip filter 1033 pass * * tcp ftpdata * ip filter 1034 pass * * tcp,udp * domain ip filter 1035 pass * * udp domain * ip filter 1036 pass * * udp * ntp ip filter 1037 pass * * udp ntp * ip filter 1071 pass * * udp * 500 ip filter 1072 pass * * esp * * ip filter 1073 pass * * udp * 500 ip filter 1074 pass * * esp * * ip filter 1075 pass * * udp * 4500 ip filter 1076 pass * * udp * 4500 ip filter 1077 pass * * udp * 1701 ip filter 1078 pass * * udp * 1701 ip filter 1099 pass * * * * * ip filter 5000 reject * * * * * ip filter dynamic 10080 * * ftp ip filter dynamic 10081 * * domain ip filter dynamic 10082 * * www ip filter dynamic 10083 * * smtp ip filter dynamic 10084 * * pop3 ip filter dynamic 10098 * * tcp ip filter dynamic 10099 * * udp nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 any nat descriptor masquerade static 1 1 192.168.11.1 esp nat descriptor masquerade static 1 2 192.168.11.1 udp 500 nat descriptor masquerade static 1 3 192.168.11.1 udp 1701 nat descriptor masquerade static 1 4 192.168.11.1 udp 4500 rip use on ospf area backbone ipsec auto refresh on ipsec transport 1 111 udp 1701 syslog notice on syslog debug on tftp host any dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.11.100-192.168.11.179/24 dns server 192.168.1.1 l2tp service on

  • YAMAHA RTX1100の設定

    YAMAHA RTX1100のルーティング・フィルタ設定についてご教授ください。 YAMAHAのRTX1100を使用して2つのセグメントのネットワークを構成しています。 ネットやマニュアルを参考に設定しているつもりなのですがうまくいかず困り果っております。 非常に初歩的な内容で恐縮ですし、質問の仕方もおかしいのかもしれませんが お知恵を拝借できれば大変ありがたいです。 現在 LAN1側に 192.168.100.1/24 LAN3側に 192.168.200.1/24 とIPを振りLAN2をPPPOE接続として使っております。 そこで LAN3の192.168.200.10にサーバーを置きLAN1にあるクライアントPCからアクセスできるようにして なおかつLAN3の192.168.200.0/24にあるクライアントPCからはLAN1の192.168.100.0/24へは アクセスできないようにルーティングとフィルタの設定を行いたいのですがどのように設定を行えばよろしいでしょうか?

  • YAHAMA RTX1100のフィルタ設定について

    初心者でもうしわけございませんがYAMAHA RTX1100の設定を頼まれてしまい 四苦八苦しておりますので御教授ください。 現在  LAN1にIP 192.168.10.1  LAN2に PPPOE LAN3にIP 192.168.20.1 LAN3にLAN1のクライアントから使用するWEBサーバーIP 192.168.20.10 を置いてある状態で LAN1からLAN3のWEBサーバーへはアクセスできる状態にあります。 また現在はLAN3からLAN1へもアクセスができる状態です。 そこでフィルタの設定なんですが LAN1からLAN3へはアクセス許可にしておいて LAN3からLAN1へはアクセス遮断とする場合 どういったフィルタ設定にすればよろしいでしょうかご教授よろしくお願いいたします。

  • RTX-1000の設定について

    ネットワーク初心者です。 会社でネットワークの勉強を始め、テスト環境を用意していただきました。(下記のような感じです) 全くの初心者のため、全くわかりません。 そんなもんネットで調べろ!とお怒りの声が聞こえてきそうですが、調べても調べ方が下手なのか、うまくヒットしません。 どなたか助言お願い致します。 行いたいことは、RTX-1000の設定のみで、PC2からインターネットに接続することです。 よろしくお願い致します。       | Global Address xxx.xxx.xxx.xxx     +-------------+     | RTX-1500 |     +-------------+       | LAN1 IP:192.168.1.1       | *----------------------------------* 192.168.1.0/24   |        | +---------+     | LAN3 IP:192.168.1.100 | PC1 |  +-------------+ +---------+  | RTX-1000 |         +------------+            | LAN1 IP:192.168.2.1            | *----------------------------------* 192.168.2.0/24        |        |     +--------+     | PC2 |     +--------+

  • yamahaRTX1100とCentOS5.7

    はじめまして自宅サーバー構築を行なっておりましてネットワーク設定でなかなか答えが 見つからずお力を借りれればと思い投稿致しました。 ◇やりたいこと-------------- ・yamahaルーターTRX1100でLAN、WAN、DMZの環境を作る。 簡易図---------- | ■LAN2[WAN](外部へ) | +-------+ |RTX1100| +-------+ ■LAN1[LAN](ローカルPCへ) ■LAN3[DMZ](サーバーへ) ◇LAN3[DMZ]サーバーについて ・サーバー(1)CentOS5.7,WWW,FTP,POP,SMTP,SSH,Telnet (SSH,TelnetはLAN1(ローカル)からのみ受け付ける。 ・サーバー(2)((1)と同じ) ◇環境 ・光フレッツネクスト ・かもめインターネット(固定IP8個、DNSサーバ自動割り振り) ・YamahaルータTRX1100(1台) ・ローカルPC(1台) ・サーバー(2台) ◇参考にしている部分 ・http://jp.yamaha.com/products/network/solution/internet/multiple/を参考。 ◇現状 ・LAN1のローカルからはインターネットへ繋がる。(参考をそのまま設定) ・DMZはネット自体が繋がらない。 ・DMZ側の設定がいまいちわからない。 ◇知りたいこと ・RTXへコマンド設定をするときの記述。 ・CentOSでのネットワーク設定。 ・グローバル固定IPをルーターとサーバー2台へ割り振るのかな?と 思っているがよくわかっていない。 お力を頂ければ幸いです。よろしくお願いします。

  • YAMAHA RTX1100の設定方法について

    YAMAHA RTX1100の設定方法について 初めまして、宜しくお願いいたします。 ほんとに初心者でもうしわけございません。 今度、現行のRTX1100に対し、プロバイダーの変更を行う為 設定を変更するのですが、変更すべきコマンドはなんとかわかったのですが 例えば、 ip route default gateway 122.208.200.115 ip lan2 address 122.208.200.116/30 ip filter 200003 reject 122.208.200.114/30 * * * * ip filter 200013 reject * 122.208.200.114/30 * * * ip filter 200030 pass * 122.208.200.1114/30 icmp * * ip filter 200031 pass * 122.208.200.114/30 established * * ip filter 200032 pass * 122.208.200.114/30 tcp * ident ~ なのですが、すみませんこういったコマンド類はまとめて入力 するものなのでしょうか?もしくは、1行づつ入力してEnter? そして最後にsave?でしょうか? ほんと初歩的で申し訳ございません。

  • 私は多少PCがいじれる程度の人間で、ヤマハルータRTX1100の設定す

    私は多少PCがいじれる程度の人間で、ヤマハルータRTX1100の設定する必要があり困ってます。  Bフレッツファミリー100 → RTX1100 → スイッチングHUB  ※ スイッチングHUBから各部屋に配線されており、HUBに部屋から部屋へアクセスできないように設定有り インターネットへのアクセスができればよいだけのシステムです。 前任者が一通り設定しており、基本的にはHP閲覧は可能なのですが、全体的にインターネットアクセスできない、しずらいという報告が出ています。(ヤフーのトップページも出てこないなど・・) ここで知りたいのは、RTX1100の設定に問題があるかどうかということです。知識のある方から見て遅くなる(またはなかなかアクセスできない)原因があるかどうかをお教えください。    RTX1100の設定内容 # RTX1100 Rev.8.03.24 (Thu Oct 27 11:06:13 2005) security class 3 on off ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.10.1/24 ip lan1 secure filter in 1 2 100 pp select 1 pp always-on on pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname 接続ID 接続PW ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp secure filter in 61 62 63 100 ip pp secure filter out 71 72 73 100 ip pp intrusion detection in on reject=on ip pp nat descriptor 1 pp enable 1 ip filter 1 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 2 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 61 reject 10.0.0.0/8 * * * * ip filter 62 reject 172.16.0.0/12 * * * * ip filter 63 reject 192.168.0.0/16 * * * * ip filter 71 reject * 10.0.0.0/8 * * * ip filter 72 reject * 172.16.0.0/12 * * * ip filter 73 reject * 192.168.0.0/16 * * * ip filter 100 pass * * * * nat descriptor type 1 masquerade dhcp service server dhcp scope 1 192.168.10.50-192.168.10.254/24 dns server pp 1 dns private address spoof on schedule at 1 */* 05:00 * restart 以上です。よろしくお願いします。

専門家に質問してみよう