YAMAHA RT シリーズ ポートを開く方法(改良第2版+VPN)

Last update 2011.06.12


 VPNを追加した場合こんな感じです。

# Network ID = [network id]
# CIDR = [cidr]
# Router = [router]
# DNS Server = [dns server]
# HTTP Server = [http server]
# Mail Server = [mail server]
# NNTP Server = [nntp server]
# 内部 NTP Server = [ntp server]
# 外部 NT Server = [outside ntp server]
# Syslog Host = [syslog server]
# ドメイン名 = [domain name]
#
# 自己プライベートIP = [MyPrivateID]
# 自己プライベートCIDR = [MyPrivateCIDR]
# VPN専用バイパスルータ = [VPNRouter]
# 対向ルータ = [PairRouter]
# 対向プライベートIP = [PairPrivateID]
# 対向プライベートCIDR = [PairPrivateCIDR]
# VPN仮キー = [VPN-FalsenessKey]

#########################################################
# 環境
#########################################################
# Password
login password *
administrator password *

# セキュリティクラス
security class 2 off off

# 表示カラム拡大
console columns 200

# スクロールノンストップ
console lines infinity

# 専用回線指定
pp line l128
# 140p で1.5Mbps接続の場合
# pri leased channel 1/1 1 24

#########################################################
# 1-19 in/out reject プライベート ループバック 自己空間 その他
#########################################################
# 送信元が自己アドレス空間(in)
ip filter 1 reject [network id]/[cidr] * * * *

# 宛先が自己アドレス空間(out)
ip filter 2 reject * [network id]/[cidr] * * *

# 送信元がプライベトー or ループバック(そんなことはあり得ない)
ip filter 3 reject 192.168.0.0/16 * * * *
ip filter 4 reject 172.16.0.0/12 * * * *
ip filter 5 reject 127.0.0.0/24 * * * *
ip filter 6 reject 10.0.0.0/8 * * * *

# 宛先がプライベトー or ループバック(そんなことはあり得ない)
ip filter 7 reject * 192.168.0.0/16 * * *
ip filter 8 reject * 172.16.0.0/12 * * *
ip filter 8 reject * 127.0.0.0/24 * * *
ip filter 10 reject * 10.0.0.0/8 * * *

# Windows系は NBT、DEC-RPC、MS-DSは明示的に 閉じるのがいいですね
ip filter 11 reject * * tcp,udp 135,137-139,445 *
ip filter 12 reject * * tcp,udp * 135,137-139,445

#########################################################
# 20-29 in reject (アクセス禁止サイト)
#########################################################
# アクセスを拒否するサイトはここに記述する
# ip filter 21 reject 111.222.333.0/24 * * * *

#########################################################
# 30-39 in pass (サーバ別通過許可他)
#########################################################
# 公開サービスを提供しているサーバ。サーバ別に公開サービスを全て記述
ip filter 30 pass * [dns server] tcp,udp * 53
ip filter 31 pass * [http server] tcp,udp * 80
ip filter 32 pass * [mail server] tcp,udp * 25,110,113
ip filter 33 pass * [nntp server] tcp,udp * 119

# icmp-error だけは受け付ける。
ip filter 49 pass * [network id]/[cidr] icmp-error * *

#########################################################
# 40-49 in pass (VPN)
#########################################################

#########################################################
# 50-59 in pass (戻り)
#########################################################
# NTP
ip filter 50 pass [outside ntp server] [network id]/[cidr] udp 123 *

# DNS
ip filter 51 pass * [network id]/[cidr] udp 53 *

# 確立された通信
ip filter 52 pass * [network id]/[cidr] established * *

# 特別に通させたいパケットがあればここに記述
# ip filter 55 pass 210.145.196.64/28 [router] tcp,udp * 23
# ip filter 56 pass 210.145.140.144/28 [router] tcp,udp * 23

#########################################################
# 60-69 out pass (公開サービス戻り)
#########################################################
ip filter 60 pass [dns server] * tcp,udp 53 *
ip filter 61 pass [http server] * tcp,udp 80 *
ip filter 62 pass [mail server] * tcp,udp 25,110,113 *
ip filter 63 pass [nntp server] * tcp,udp 119

#########################################################
# 70-79 out pass (VPN)
#########################################################

#########################################################
# 80-89 out reject (踏み台対策)
#########################################################
# いわゆる「危険なポート」を使った外部接続を塞ぐ
ip filter 80 reject * * udp,tcp * 1,7,11,15,43,67-70,79,87,95,109
ip filter 81 reject * * udp,tcp * 111,135,137-139,144,161,162,177,220,445,512-515
ip filter 82 reject * * udp,tcp * 517-518,520,540-541,568-569,1025,1433-1434,1477-1478,1512,1755,1801
ip filter 83 reject * * udp,tcp * 2000,2049,2393-2394,2525,2766,3268-3269,3389,5631-5632,8080,11111
ip filter 84 reject * * udp,tcp * 12345,31337,6000-6999

#########################################################
# 90-99 予備
#########################################################

#########################################################
# 100 etc
#########################################################
ip filter 100 pass * * * * *

ip filter source-route on
ip filter directed-broadcast on

#########################################################
# VPN 設定
#########################################################
ip lan route add net [MyPrivateID]/[MyPrivateCIDR] [VPNRouter] 1
ip filter 40 pass [PairRouter] [router] ah,esp * *
ip filter 41 pass [PairRouter] [router] udp 500 *
ip filter 42 pass [PairRouter] [router] udp * 500
ip filter 70 pass [router] [PairRouter] ah,esp * *
ip filter 71 pass [router] [PairRouter] udp 500 *
ip filter 72 pass [router] [PairRouter] udp * 500
ipsec auto refresh on
ipsec ike host [PairRouter]
ipsec pre-shared-key [PairRouter] text [VPN-FalsenessKey]
ipsec sa policy 101 [PairRouter] esp 3des-cbc md5-hmac
ipsec sa policy 102 [PairRouter] esp 3des-cbc md5-hmac
ipsec transport 1 102 esp * *
tunnel select 1
ip tunnel route add net [PairPrivateID]/[PairPrivateCIDR] 1
ipsec tunnel 101
tunnel enable 1

#########################################################
# 環境
#########################################################
# ルータの IP アドレス
ip lan address [router]/[cidr]
# 140p の場合
# ip lan1 address [router]/[cidr]

# ルーティングプロトコル無し
ip lan routing protocol none
# 140p の場合
# ip lan1 routing protocol none

#########################################################
# フィルタの実装
#########################################################
pp select leased
# 140p の場合
# pp select 1
# pp bind pri 1/1

ip pp route add net default 1
ip pp secure filter in 1 3 4 5 6 7 8 9 10 11 12 30 31 32 33 40 41 42 49 50 51 52
ip pp secure filter out 60 61 62 63 70 71 72 2 3 4 5 6 7 8 9 10 11 12 80 81 82 83 84 100
pp enable leased
# 140p の場合
# pp enable 1

#########################################################
# 環境
#########################################################
# syslog 関係
syslog host [syslog server]
syslog notice on

# DNS 関係
dns server [dns server]
dns domain [domain name]
dns syslog resolv on

# 時刻合わせのスケジュール
schedule at */* 04:00 leased ntpdate [ntp server]
# 140p の場合
# schedule at */* 04:00 1 ntpdate [ntp server]

back.gif (1980 バイト)

home.gif (1907 バイト)

更にPPPoE(IPマスカレード)+VPN版もあったりします (^_^;
こっそりと RTA54i on PPPoE(NAPT) とか RTA54i+Dynamic なんかも....

Copyright © MURA All rights reserved.