YAMAHAルータのフィルタ設定の読み方

ip pp secure filter in 200
ip filter 100 pass-log 166.166.166.166 192.168.1.100 tcp 8000 *

(166.166.166.166のIPアドレスは例です。)

このような設定がYAMAHAのルータRT58iの設定の中にあるのですが、読み方がちゃんと理解できません。

この場合は、200番項目をWANからLAN内への通信で適用して、
166.166.166.166のグローバルIPアドレスが送信元アドレスで、送信元アドレスが宛先TCPポート8000への通信をしてきたら、LAN内の192.168.1.100のサーバの全ポートがこれに応えるという理解で良いのでしょうか?

No.1 ベストアンサー 回答者： kuroizell 回答日時： 2009/12/08 14:56

コマンドリファレンス読みましょう。

http://www.rtpro.yamaha.co.jp/RT/docs/firewall/i …
ただ初心者にも易しい内容ではないので説明しますと、

一行目：WANから入ってくるパケットに、200番のフィルタをかけます。
二行目：フィルタ番号100を設定します。166.166.166.166から192.168.1.100宛に来るTCP:8000は全て通して、通信ログを残します。
上記結果：フィルタ100番の設定をしてるけど、適用してるフィルタは200だから、無意味です。
オマケ：フィルタ番号を正しく書き換えても、NAT使ってないとつながりません。

この回答へのお礼

回答頂きありがとうございました。

ip pp secure filter in 200
ip filter 200 pass-log 166.166.166.166 192.168.1.100 tcp 8000 *

大変失礼しましたこのフィルタは200でした。確かにさっきのだと無意味ですね。

確認させて頂きたいのですが、
166.166.166.166 ---------------> 192.168.1.100
TCP8000ポート ---------------> TCP*ポート

このようなことで理解していいのでしょうか？


また、
追加で質問させて頂きたいのですが、
ip filter 200 pass-log 166.166.166.166 192.168.1.100 tcp * 8000

この場合は
166.166.166.166 ---------------> 192.168.1.100
TCP*ポート ---------------> TCP8000ポート


192.168.1.100のPCは166.166.166.166 のクライアントTCPポートの何番のものでも宛先がTCP8000ポートに対してのものだけは通信させるということになるのでしょうか。

お礼日時：2009/12/08 15:23

No.3 回答者： kuroizell 回答日時： 2009/12/09 12:01

追加のご質問に関しては、それで合っています。

ただ、192.168.1.100というのはプライベートIPアドレスですので、インターネット側から直接アクセスする事は出来ません。
nnori7142の仰るように、グローバルなIP（固定IPアドレス）を取得して、その固定IPアドレスのTCP8000宛は
192.168.1.100のサーバに転送するといった、NAT（正確にはNAPT、一般的にIPマスカレード）というものを使用しなければ通信できません。

No.2 回答者： nnori7142 回答日時： 2009/12/09 10:13

　お尋ねの件ですが、他の方の回答も拝見しましたが、追加補足で特定ポートへの通信の場合、指摘コマンドのみですとIPフィルタ・ルール規定だけですので、WANからの特定の通信が192.168.1.100（TCP8000）へ転送されるとは限らないですよ。

　「nat descriptor masquerade static」コマンドにてポート転送ルール規定してあげないと転送されないですよ。
　具体的には「nat descriptor masquerade incoming * through」、「nat descriptor masquerade static * 1 192.168.1.100 tcp 8000」といった記述を入れてあげなければ転送されないですね。（*には任意の数値を設定）
　上記は、特定IPアドレス・ポート番号へ転送する場合には必要な事項ですので、念の為ですが・・・。