YAMAHA RT シリーズ ポートを開く方法(改良第2版)

Last update 2011.06.12


 フィルタを整理してエディタの置換で一発変更出来るようにしてみました。セキュリティポリシーはこちらです。

Ver 2.01.01 2001/01/28(Sun)

# Network ID = [network id]
# CIDR = [cidr]
# Router = [router]
# DNS Server = [dns server]
# HTTP Server = [http server]
# Mail Server = [mail server]
# NNTP Server = [nntp server]
# 内部 NTP Server = [ntp server]
# 外部 NT Server = [outside ntp server]
# Syslog Host = [syslog server]
# ドメイン名 = [domain name]
#########################################################
# 環境
#########################################################
# Password
login password *
administrator password *

# セキュリティクラス
security class 2 off off

# 表示カラム拡大
console columns 200

# スクロールノンストップ
console lines infinity

# 専用回線指定
pp line l128
# 140p で1.5Mbps接続の場合
# pri leased channel 1/1 1 24

#########################################################
# 1-19 in/out reject プライベート ループバック 自己空間 NBT その他
#########################################################
# 送信元が自己アドレス空間(in)
ip filter 1 reject [network id]/[cidr] * * * *

# 宛先が自己アドレス空間(out)
ip filter 2 reject * [network id]/[cidr] * * *

# 送信元がプライベトー or ループバック(そんなことはあり得ない)
ip filter 3 reject 192.168.0.0/16 * * * *
ip filter 4 reject 172.16.0.0/12 * * * *
ip filter 5 reject 127.0.0.0/24 * * * *
ip filter 6 reject 10.0.0.0/8 * * * *

# 宛先がプライベトー or ループバック(そんなことはあり得ない)
ip filter 7 reject * 192.168.0.0/16 * * *
ip filter 8 reject * 172.16.0.0/12 * * *
ip filter 8 reject * 127.0.0.0/24 * * *
ip filter 10 reject * 10.0.0.0/8 * * *

# Windows系は NBT、DEC-RPC、MS-DSは明示的に閉じるのがいいですね
ip filter 11 reject * * tcp,udp 135,137-139,445 *
ip filter 12 reject * * tcp,udp * 135,137-139,445

#########################################################
# 20-29 in reject (アクセス禁止サイト)
#########################################################
# アクセスを拒否するサイトはここに記述する
# ip filter 21 reject 111.222.333.0/24 * * * *

#########################################################
# 30-49 in pass (サーバ別通過許可他)
#########################################################
# 公開サービスを提供しているサーバ。サーバ別に公開サービスを全て記述
ip filter 30 pass * [dns server] tcp,udp * 53
ip filter 31 pass * [http server] tcp,udp * 80
ip filter 32 pass * [mail server] tcp,udp * 25,110,113
ip filter 33 pass * [nntp server] tcp,udp * 119

# icmp-error だけは受け付ける。
ip filter 49 pass * [network id]/[cidr] icmp-error * *

#########################################################
# 50-59 in pass (戻り)
#########################################################
# NTP
ip filter 50 pass [outside ntp server] [network id]/[cidr] udp 123 *

# DNS
ip filter 51 pass * [network id]/[cidr] udp 53 *

# 確立された通信
ip filter 52 pass * [network id]/[cidr] established * *

# 特別に通させたいパケットがあればここに記述
# ip filter 55 pass 210.145.196.64/28 [router] tcp,udp * 23
# ip filter 56 pass 210.145.140.144/28 [router] tcp,udp * 23

#########################################################
# 60-79 out pass (公開サービス戻り)
#########################################################
ip filter 60 pass [dns server] * tcp,udp 53 *
ip filter 61 pass [http server] * tcp,udp 80 *
ip filter 62 pass [mail server] * tcp,udp 25,110,113 *
ip filter 63 pass [nntp server] * tcp,udp 119

#########################################################
# 80-89 out reject (踏み台対策)
#########################################################
# いわゆる「危険なポート」を使った外部接続を塞ぐ
ip filter 80 reject * * udp,tcp * 1,7,11,15,43,67-70,79,87,95,109
ip filter 81 reject * * udp,tcp * 111,135,137-139,144,161,162,177,220,445,512-515
ip filter 82 reject * * udp,tcp * 517-518,520,540-541,568-569,1025,1433-1434,1477-1478,1512,1755,1801
ip filter 83 reject * * udp,tcp * 2000,2049,2393-2394,2525,2766,3268-3269,3389,5631-5632,8080,11111
ip filter 84 reject * * udp,tcp * 12345,31337,6000-6999

#########################################################
# 90-99 予備
#########################################################

#########################################################
# 100 etc
#########################################################
ip filter 100 pass * * * * *

ip filter source-route on
ip filter directed-broadcast on

#########################################################
# 環境
#########################################################
# ルータの IP アドレス
ip lan address [router]/[cidr]
# 140p の場合
# ip lan1 address [router]/[cidr]

# ルーティングプロトコル無し
ip lan routing protocol none
# 140p の場合
# ip lan1 routing protocol none

#########################################################
# フィルタの実装
#########################################################
pp select leased
# 140p の場合
# pp select 1
# pp bind pri 1/1

ip pp route add net default 1
ip pp secure filter in 1 3 4 5 6 7 8 9 10 11 12 30 31 32 33 49 50 51 52
ip pp secure filter out 60 61 62 63 2 3 4 5 6 7 8 9 10 11 12 80 81 82 83 84 100
pp enable leased
# 140p の場合
# pp enable 1

#########################################################
# 環境
#########################################################
# syslog 関係
syslog host [syslog server]
syslog notice on

# DNS 関係
dns server [dns server]
dns domain [domain name]
dns syslog resolv on

# 時刻合わせのスケジュール
schedule at */* 04:00 leased ntpdate [ntp server]
# 140p の場合
# schedule at */* 04:00 1 ntpdate [ntp server]

back.gif (1980 バイト)

home.gif (1907 バイト)

Copyright © MURA All rights reserved.

VPN版もあったりします (^_^;