| NTT-ME BA8000 Pro設定例 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ISDNからADSLに乗り換えたのをきっかけにルーターを NTT-ME BA8000Proにしました。 下記の設定で正しいのかよく分かりませんが、取り敢えず動いています。宜しければ参考にして下さい。間違い等ありましたら掲示板又はメールでお教え頂ければ幸いです。尚、マニュアルにも記載させていますが、グローバルIPアドレス1個のサービスを使用している場合は、LAN側からLAN内のサーバーにグローバルIPアドレス又はドメイン名でアクセス出来ません。 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
■静的マスカレード webサーバーのローカルIPアドレスは192.168.1.5です。メールサーバー等他のサーバー立てていません。
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
■静的フィルタ WAN→LAN
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
■WAN→LANのステートフル・パケット・インスペクション機能を有効にしています。 この機能は (1)Ping of Death (2)TearDrop / Bonk / Boink (3)SYN flood (4)LAND (5)smurf (6)IP Spoofing (7)Port scan についてインターネット側(WAN側)からの攻撃を検知し、パケットを破棄した上でログに記録します。従って、私はあまり多くの設定はしていません。ウエルノウンポートは80番のみ開放しています。192.168.1.5がwebサーバーのローカルIPアドレスです。不正アクセス検知機能の詳細はこちらをご覧下さい。 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
■ステルスモード機能を有効にしています。 これはWAN側(インターネット側)からのicmp要求(ping等)に対してルータのWAN側ポートが応答しない機能です。従って、静的IPフィルタリングではWAN側からのicmpでdiscard(破棄)していません。 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
LAN→WAN
従って、多少静的フィルタを掛けています。 1,2,3・・・ローカルIPアドレスがWAN側に行かないように遮断。 4・・・Windows 95/98/NT/2000による不正発信を防止。 5・・・マルチキャストアドレスがWAN側に行かないように遮断。 10,11・・・port135はDCE Locatorサービスのトラフィックサービスを遮断 port445はSMBサービスのトラフィックサービスを遮断 12,13・・・NetBios系のトラフィックサービスを遮断 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
■ダイナミックフィルタ
サーバーの時計を合わせる為、cron.dailyで1日1回NTPクライアントとしてNTPサーバーと通信をしています。この時に、WAN→LANのUTPの123ポートが空いている必要があります。静的フィルタで24時間開けておいてもいいのですが、1日に1秒だけ開いていれば事が足りるので、ダイナミックフィルタを使用して、トリガとしてLAN→WANが123ポートを使用した時に、一時的にWAN→LANのUDP123ポートを空けています。トリガはNTPサーバーのIPアドレスでもいいかもしれません。 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||