RTX1000でのポート解放について。

NTT西日本Ｂフレッツで接続しています。
現状のconfigは

ip route default gateway pp 1
ip lan1 address 192.168.1.200/24
ip lan1 nat descriptor 2
ip lan2 secure filter in 200017 200018
ip lan2 secure filter out dynamic 200098 200099
ip lan2 intrusion detection in on reject=on
ip lan2 intrusion detection out on reject=on
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ID PAWWRD
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1438
ip pp nat descriptor 1
pp enable 1
ip filter 200014 pass * * icmp * *
ip filter 200015 pass * * established * *
ip filter 200016 pass * * tcp * ident
ip filter 200017 pass * 192.168.1.201 tcp * 26508
ip filter 200018 pass * 192.168.1.201 udp * 26508
ip filter 200099 pass * * * *
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1 masquerade
syslog debug on
dhcp service server
dhcp scope 1 192.168.1.201-192.168.1.254/24
dns server pp 1
dns private address spoof on
httpd host 192.168.1.1-192.168.1.254
としています。
ip filter 200017 pass * 192.168.1.201 tcp * 26508
ip filter 200018 pass * 192.168.1.201 udp * 26508
で特定ポートを解放しているつもりですが。。。

ip lan2 secure filter in 200017 200018
で設定も反映しています。
どこが間違っているかご教示頂きたいと存じます。

No.1 回答者： kuroizell 回答日時： 2009/03/02 15:08

インターネット側から、192.168.1.201:26508にアクセスさせたい、という事でしょうか。

それなら外部からLAN内のPCは見えませんので、192.168.1.201を固定IPに書き換え、
NATで192.168.1.201に通せばよいかと思います。

No.2 回答者： invalid 回答日時： 2009/03/02 23:01

Ano.1さんの仰るとおり単にフィルタに記述するだけでは外からアクセスできません。

下記URLにWWWサーバ,FTPサーバを公開する場合の例があります。
http://netvolante.jp/solution/int/case4.html
これにならって26508番を公開するように設定すればよいのですが。。。

ポート単位でマスカレードする場合には上記URLのように
# nat descriptor masquerade static 1 1 192.168.10.2 tcp www
のようにnat descriptorでポートを明示する必要があります。
またフィルタも対応して
# ip filter 1031 pass * 192.168.10.2 tcpflag=0x0002/0x0017 * www
# ip filter dynamic 201 * 192.168.10.2 www
# ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202
と書き分ける必要があります。
（面倒ですが）

この回答へのお礼

皆様ご教示ありがとうございます。
http://netvolante.jp/solution/int/case4.html​
を参考に致して再度設定を行ってみます。
愚問かもしれませんが、DMZ(192.168.0.0/24)とLAN2(192.168.0.0/24)
の間を制限無しに設定する場合
ip filter dynamic 200 192.168.0.0/24 * telnet
を
ip filter dynamic 200 192.168.0.0/24 * *
とすれば宜しいのでしょうか？

またDMZ領域から外部へのアクセスは可能なのでしょうか？
（Web等々smtpも含みます)

お礼日時：2009/03/03 17:53

No.3 回答者： invalid 回答日時： 2009/03/04 00:06

手元にRTX1000がないので確認できませんが

ip filter dynamic の構文ではprotocolはニーモニック指定しか
できないように思います。ただしtcp/udpが指定可能なので
# ip filter dynamic 200 192.168.0.0/24 * tcp
であればtcpのアプリケーションの通信は殆んど通ることになります。

> またDMZ領域から外部へのアクセスは可能なのでしょうか？
フィルタリングの設定次第で可能です。
サイトの例だとDMZのWWWとFTPサーバから外に出れない設定に
なっていると思います。（アクセスに対するレスポンスは返せますが）

この回答へのお礼

invalid様。ありがとうございます。
今回ご質問させて頂きました要件で整理し纏めてみました。
要件としてはポートNo26508を解放したい。
で、設定例を参考にし
nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508
nat descriptor masquerade static 1 1 192.168.10.2 udp 26508
を追加・変更。
ip filter 1031 pass * 192.168.10.2 tcpflag=0x0002/0x0017 * 26508
ip filter 1033 pass * 192.168.10.2 udp * 26508
を追加・変更。
ip filter dynamic 200 192.168.1.200/24 * tcp
に修正。
ip pp secure filter in 1020 1030 1031 1032 1033 2000 dynamic 201 202
で1033を追加記述。
で間違いないでしょうか？
ただ
>フィルタリングの設定次第で可能です。
>サイトの例だとDMZのWWWとFTPサーバから外に出れない設定に
>なっていると思います。（アクセスに対するレスポンスは返せますが）
の部分が少し解りにくくて。

お礼日時：2009/03/04 15:57

No.4 回答者： invalid 回答日時： 2009/03/05 00:59

私がややこしい例を持ち出して混乱させてしまったようです。

申し訳ないです。

まず
# nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508
# nat descriptor masquerade static 1 2 192.168.10.2 udp 26508　←idを２にしています
でポートをマッピングします。

> ip filter 1031 pass * 192.168.10.2 tcpflag=0x0002/0x0017 * 26508　

これですと最初のSYNフラグの付いたパケットだけが通りますが、
続いてくるパケットを通すために動的フィルタが必要になります。
ただ動的フィルタが26508に対応していないと思われるので、以下
のようにしてください。
（最初の質問のconfigと変わってないですね…スミマセン
ホントはSYN有無で分けたほうがセキュリティ的には良いのですが）

# ip filter 1031 pass * 192.168.10.2 tcp * 26508　
# ip filter 1033 pass * 192.168.10.2 udp * 26508

以下の動的フィルタは不要です
> ip filter dynamic 201 * 192.168.10.2 26508

PPにかけるフィルタは動的フィルタ(dynamic)を除いて
# ip pp secure filter in 1020 1030 1031 1033 2000
です。


26508番ポートを使うアプリケーションが何者かが分からないため
通信がうまくいくかどうか少し疑問です。
・UDPを必要としてるのかどうか？
・レスポンスをそのポートから返すのか？
・他のunknownポートを使うのかどうか？
とかです。


> またDMZ領域から外部へのアクセスは可能なのでしょうか？
>（Web等々smtpも含みます)

（サイトの例で）LAN3にかかっているフィルタと、PPにかかっているフィルタの両方を見て
DMZから外部にアクセスできる状態になっているかどうかがポイントになります。
26508ポートの通信ができるようになってから別途設定するほうが良いと思います。

この回答への補足

invalid様。お世話になります。
休日でしたので朝から設定してみました。結局configは
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.200/24
ip lan3 address 192.168.10.1/24
ip lan3 secure filter in 2000
ip lan3 secure filter out 3000 dynamic 100 101 200
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ********** ********
ppp lcp mru on 1454
ppp ipcp msext on
ip pp address 111.11.111.111/32
(111.11.111.111と設定すると111.11.111.111/32なる)
ip pp mtu 1438
ip pp secure filter in 1020 1030 1031 1032 1033 2000 dynamic 202 203
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102
103 104 105 106
ip pp intrusion detection in on
ip pp nat descriptor 1
pp enable 1
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1031 pass * 192.168.10.2 tcp * 26508
ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21
ip filter 1033 pass * 192.168.10.2 udp * 26508
ip filter 1034 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * www
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 200 192.168.0.0/24 * tcp
ip filter dynamic 202 * 192.168.10.3 ftp
ip filter dynamic 203 * 192.168.10.3 www
nat descriptor type 1 masquerade
nat descriptor address outer 1 111.11.111.111
nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508
nat descriptor masquerade static 1 2 192.168.10.2 udp 26508
nat descriptor masquerade static 1 3 192.168.10.3 tcp 21
nat descriptor masquerade static 1 4 192.168.10.3 tcp www
syslog debug on
tftp host any
dhcp service server
dhcp scope 1 192.168.1.201-192.168.1.254/24
dns server 222.222.222.22 333.333.333.33
dns private address spoof on
httpd host 192.168.1.1-192.168.1.254

# show status pp 1
PP[01]:
Current PPPoE session status is Connected.
Access Concentrator: nttw-ctu
26 minutes 5 seconds connection.
Received: 155 packets [14662 octets] Load: 0.0%
Transmitted: 111 packets [5049 octets] Load: 0.0%
PPP Cofigure Options
LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
IPCP Local: IP-Address Primary-DNS(***.***.**.***) Secondary-DNS(***.***.***.***), Remote: IP-Address
(dns server 222.222.222.22 333.333.333.33で設定した値になっていない)
と致しました。

しかし192.168.1.0/24に対する疎通も外部からの26508への接続も不可となってしまいました。
26508のポート以外にも通常のtcp・udpも空ける必要があると事で
以前申されていたフィルタリングの設定も必要なようです。

掲載致しましたconfigで間違っている所はありますでしょうか？

補足日時：2009/03/08 18:18

No.5 回答者： invalid 回答日時： 2009/03/10 23:46

configを以下のようにしてみてはいかがでしょうか。

修正行には※でコメントをしてあります。

行先頭に＃がある行は不要と思われる行です。
ＢフレッツでPPPoEなのでグローバルアドレス、ＤＮＳもIPCPで付与
されると重います。

---
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.200/24
ip lan3 address 192.168.10.1/24
ip lan3 secure filter in 2000
ip lan3 secure filter out 3000 dynamic 100 101 200

pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ********** ********
ppp lcp mru on 1454
ppp ipcp msext on
＃ip pp address 111.11.111.111/32 (※PPPoEでグローバルアドレスが付けられるので行削除)
ip pp mtu 1438
ip pp secure filter in 1031 1032 1033 1034 2000 dynamic 202 203
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
ip pp intrusion detection in on
ip pp nat descriptor 1
pp enable 1

ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1031 pass * 192.168.10.2 tcp * 26508
ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21
ip filter 1033 pass * 192.168.10.2 udp * 26508
ip filter 1034 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * www
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 200 192.168.1.0/24 * tcp (※192.168.0.0⇒192.168.1.0に修正)
ip filter dynamic 202 * 192.168.10.3 ftp
ip filter dynamic 203 * 192.168.10.3 www

nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp (※PPPoE/IPCPのアドレスを使うよう設定)
nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508
nat descriptor masquerade static 1 2 192.168.10.2 udp 26508
nat descriptor masquerade static 1 3 192.168.10.3 tcp 21
nat descriptor masquerade static 1 4 192.168.10.3 tcp www
syslog debug on
tftp host any
dhcp service server
dhcp scope 1 192.168.1.201-192.168.1.254/24
＃dns server 222.222.222.22 333.333.333.33 (※PPPoEでアドレスが付けられるので行削除)
dns private address spoof on
httpd host 192.168.1.1-192.168.1.254
---

この回答へのお礼

いつもお世話になります。
お教え頂きしまた箇所修正致しましたが26508のポートや
外部への接続はできませんでした。
また192.168.1.0/24のグループにもアクセスは不可でした。
試しに
ip lan3 secure filter in 2000
を削除すると26508のポートや外部への接続は当然ですが
可能となりしまたが、192.168.1.0/24のグループには
アクセスできませんでした。

192.168.10.2から192.168.1.200(RTX1000内部)に対しても
pingは通らない状態です。

他に何かありますでしょうか？

お礼日時：2009/03/11 19:07

No.6 回答者： invalid 回答日時： 2009/03/12 00:06

WAN(LAN2)⇒DMZ(LAN3)はwww,ftp,26805だけが接続可

DMZ(LAN3)⇒LAN(LAN1)は拒否
WAN(LAN2)⇒LAN(LAN1)は拒否
LAN(LAN1)⇒WAN(LAN2)は全許可
LAN(LAN1)⇒DMZ(LAN3)はTCP全許可
DMZ(LAN3)⇒WAN(LAN2)は限られた通信(100～106)が許可
というポリシーのつもりでした。

>192.168.1.0/24のグループにもアクセスは不可
上記のポリシーでは内部LAN(192.168.1.0/24)へはDMZおよびWANから接続できない前提でした。
外部から内部への接続は極力拒否するのが通常のポリシーだと思います。

>192.168.10.2から192.168.1.200(RTX1000内部)に対してもpingは通らない状態です。
これも同様でDMZ(LAN3)⇒LAN(LAN1)は拒否というポリシーでできない状態です。
WAN⇒DMZは限られたポートについて許すがDMZ/WANからLAN1への接続は全て許さないというポリシーになります

＃　この辺りがmmiyamoto2さんと私が合わないのですね…

mmiyamoto2さんの作りたいネットワーク構成で
DMZ/LANの分けがないのであれば、DMZを無理に作る必要はないです
インターネットからの侵入を防ぎたいのであれば、あったほうが良い
と思いますが…

もしDMZ/LANの分けにこだわりがなければ
LAN3にかかっているフィルタを外した方がよいと思います。
（※INもOUTも）

以下のConfigでLAN1(LAN)～LAN3(DMZ)間は制限がなくなります。
（LAN3のフィルリングを外しWAN側インタフェースのみフィルタリング）

---
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.200/24
ip lan3 address 192.168.10.1/24

pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ********** ********
ppp lcp mru on 1454
ppp ipcp msext on
ip pp mtu 1438
ip pp secure filter in 1031 1032 1033 1034 2000 dynamic 202 203
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
ip pp intrusion detection in on
ip pp nat descriptor 1
pp enable 1

ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1031 pass * 192.168.10.2 tcp * 26508
ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21
ip filter 1033 pass * 192.168.10.2 udp * 26508
ip filter 1034 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * www
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 202 * 192.168.10.3 ftp
ip filter dynamic 203 * 192.168.10.3 www

nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508
nat descriptor masquerade static 1 2 192.168.10.2 udp 26508
nat descriptor masquerade static 1 3 192.168.10.3 tcp 21
nat descriptor masquerade static 1 4 192.168.10.3 tcp www
syslog debug on
tftp host any
dhcp service server
dhcp scope 1 192.168.1.201-192.168.1.254/24
dns private address spoof on
httpd host 192.168.1.1-192.168.1.254
---

No.7 回答者： kuroizell 回答日時： 2009/03/13 17:25

ナナメ読みして直感でお答えしますが、

フィルタではなくてルーティングの問題のような気がします。
192.168.1.200から192.168.10.1への経路が、defaultのpp1に流れてるカモ。
syslogを見ればフィルタやNATでRejectされてたら分かるので、その辺りもお調べ下さい。

この回答へのお礼

invalidさん・kuroizellさんご教示ありがとうございます。
invalidさんのご指摘通りに修正を致しましたが、
1921.168.1.0/24に対してpingは通らない状態でした。

>192.168.1.0/24のグループにもアクセスは不可
と致したかったのですが、ファイル共有だけは
行いたいと思っていました。
確かにセキュリティの面では問題があるとは思いますが。。

再度整理致しますと
WAN(LAN2)⇒DMZ(LAN3)は​www,ftp,26805​だけが接続可
DMZ(LAN3)⇒LAN(LAN1)はファイル共有のみ可(192.168.1.6に対して)それ以外は拒否
WAN(LAN2)⇒LAN(LAN1)は拒否
LAN(LAN1)⇒WAN(LAN2)は全許可
LAN(LAN1)⇒DMZ(LAN3)はTCP全許可
DMZ(LAN3)⇒WAN(LAN2)は限られた通信(100～106)が許可
ですが
>LAN(LAN1)⇒DMZ(LAN3)はTCP全許可
例えば192.168.1.6から192.168.10.1に対してpingも通りません。

>syslogを見ればフィルタやNATでRejectされてたら分かるので、その
>辺りもお調べ下さい
とお教え頂きましたが、具体的にとの様なログをチェックしたら宜しいのでしょうか？

お礼日時：2009/03/13 17:47

No.8 回答者： invalid 回答日時： 2009/03/14 14:21

> >LAN(LAN1)⇒DMZ(LAN3)はTCP全許可

> 例えば192.168.1.6から192.168.10.1に対してpingも通りません。

pingが使うのはTCPパケットではなくICMPパケットとなるので
上記の「TCP全許可」にあてはまらないです。


LAN3の関係だけピックアップして修正する例を書きます。
--
ip lan3 address 192.168.10.1/24
ip lan3 secure filter in 1101 1102 1103 2000 ⇒DMZからLANに通したいプロトコルのフィルタを追加
ip lan3 secure filter out 3000 dynamic 100 101 ⇒No.200を削除

ip filter 1101 pass * 192.168.1.0/24 icmp ⇒DMZからLANに通したいプロトコルを指定
ip filter 1102 pass * 192.168.1.0/24 tcp * * ⇒DMZからLANに通したいプロトコルを指定(例で*にしてます）
ip filter 1103 pass * 192.168.1.0/24 udp * * ⇒DMZからLANに通したいプロトコルを指定(例で*にしてます）
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
# ip filter dynamic 200 192.168.1.0/24 * tcp　⇒No.200を削除
--


> 具体的にとの様なログをチェックしたら宜しいのでしょうか？

syslog notice on
としておくとフィルタでrejectされた通信がログに出力されるようになります
show logで確認してください。

No.9 回答者： kuroizell 回答日時： 2009/03/16 17:57

もう少しconfig眺めてみました。

フィルタかけてるのがLAN2だけで、LAN1とLAN3の設定がないようですね。
ip INTERFACE secure filter....のトコです。
configにsyslog notice onを加えて、show log | grep Rejected すると、
デフォルトのフィルタで弾かれてるのが見えるような気がします。

既出ですが、http://netvolante.jp/solution/int/case4.htmlをしっかり眺めてください。

この回答への補足

皆様ご教示ありがとうございます。
ip filter 1030 pass * 192.168.1.0/24 icmp ←削除
し
ip lan3 secure filter out 3000 dynamic 100 101
ip lan3 secure filter in 1101 1102 1103 2000
ip filter 1102 pass * 192.168.1.0/24 udp,tcp 445 *
ip filter 1103 pass * 192.168.1.0/24 udp,tcp * 445
を追加しましたらDMZ上端末からインターネット上に出なくなってしまいました。

追加する前は
2009/03/19 23:37:13: [INSPECT] PP[01][out][106] UDP 192.168.10.2:65435 > 192.16
8.1.4:161 (2009/03/19 23:36:22)
2009/03/19 23:37:14: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:5872
5 > 192.168.1.6:445
2009/03/19 23:37:15: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:5873
0 > 192.168.1.6:139
2009/03/19 23:37:17: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:5872
5 > 192.168.1.6:445
2009/03/19 23:37:18: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:5873
0 > 192.168.1.6:139
2009/03/19 23:37:23: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:5872
5 > 192.168.1.6:445
2009/03/19 23:37:24: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:5873
0 > 192.168.1.6:139
2009/03/19 23:37:36: PP[01] Rejected at OUT(1012) filter: UDP 192.168.10.2:137
> 192.168.1.6:137
とrejectedされていました。

追加した後は
2009/03/19 23:29:06: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 >
192.168.10.1:53 (DNS Query [tisprotb10-jp.url.trendmicro.com])
2009/03/19 23:29:07: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 >
192.168.1.150:53 (DNS Query [tisprotb10-jp.url.trendmicro.com])
2009/03/19 23:29:07: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 >
192.168.10.1:53 (DNS Query [tisprotb10-jp.url.trendmicro.com])
2009/03/19 23:29:09: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 >
192.168.1.150:53 (DNS Query [tisprotb10-jp.url.trendmicro.com])
2009/03/19 23:29:09: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 >
192.168.10.1:53 (DNS Query [tisprotb10-jp.url.trendmicro.com])
2009/03/19 23:29:13: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 >
192.168.1.150:53 (DNS Query [tisprotb10-jp.url.trendmicro.com])
2009/03/19 23:29:13: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 >
192.168.10.1:53 (DNS Query [tisprotb10-jp.url.trendmicro.com])
2009/03/19 23:29:21: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:53819 >
192.168.1.150:53 (DNS Query [www.google.co.jp])
2009/03/19 23:29:22: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:65435 >
192.168.1.4:161
2009/03/19 23:29:22: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:53819 >
192.168.1.150:53 (DNS Query [www.google.co.jp])
となっておりウィルスバスターが何か悪さをしているのでしょうか？

堂々巡りの質問ばかりで申し訳ありませんがよろしくお願いいたします。

補足日時：2009/03/19 23:41

No.10 回答者： kuroizell 回答日時： 2009/03/23 16:31

簡単なログの説明をしますね。

追加前：
> PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:58725 > 192.168.1.6:445
192.168.10.2から192.168.1.6への通信がpp1に流れていて、pp1(LAN2)のフィルタ番号1015でOUT方向を弾いています。
異なるネットワークアドレスへの通信はルーティングを必要としますが、192.168.1.0への経路が設定されていないので、
default gatewayであるpp1へ流れていると思われます。

変更後：
> LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 > 192.168.10.1:53
フィルタ番号2000によって、LAN3に入ってくる通信を弾いています。
UDP53なので、DNSが参照できないようですね。
pingでIPアドレス指定なら通るかもしれません。