ルーターでファイアウォールの設定

YAMAHAのRTX1000でファイアウォールの設定をしているのですが、
よくわからない部分があるので教えてください。

現在の状況は、テスト環境で、例えていうと

(1)192.168.0.0／24
(2)192.168.1.0／24
(3)172.16.0.0／12

の３つのネットワークがあり、

(1)⇔ルーターA⇔(3)⇔ルーターB⇔(2)
のようにしてあります。
このルーターの双方に、なりすましの進入を防ぐ設定として
10.0.0.0／8と192.168.0.0／16から来るデータと、
10.0.0.0／8と192.168.0.0／16へ行くデータを　遮断する設定をしました。

と、全てのデータが遮断されてしまうのです。
組み合わせではなく、このうち１つでも設定をすると繋がらなくなってしまう
のですが、どうしてなのでしょうか・・？

初歩的な質問かもしれませんが、どうぞご教授ください。
よろしくおねがいします。

No.4 ベストアンサー 回答者： hirasaku 回答日時： 2004/06/18 16:51

こんにちは。

hirasakuです。
そうだったんですか。TESTだったんですね。
それでしたら、ルーターAでこんな感じでしょうか。

ip route default gateway ルーターBのLAN2アドレス
ip lan1 address 192.168.0.1/24
ip lan2 address 172.16.0.1/16
ip lan2 secure filter in 10 11 12
ip lan2 nat descriptor 1
ip filter 10 reject 192.168.0.0/24 * * * *
ip filter 11 pass * 192.168.0.0/24 icmp * *
ip filter 12 pass * 192.168.0.0/24 established * *
nat descriptor type 1 masquerade
nat descriptor address outer 1 172.16.0.1
nat descriptor address inner 1 192.168.0.1-192.168.0.254

10のフィルターでなりすまし防止
11のフィルターはPINGなどを通す
12のフィルターはLAN1内からTCPセッションを張りに行ったやつの帰りを通す。

この場合、外（LAN2）からのを防ぐのでLAN2にフィルターをかけます。
LAN1に対してはフィルターをかけてないのでin out すべて通します。

ルーターBはアドレスを変えるだけでいいと思いますよ。

接続形態にもよりますけど、PPPoEを使うならPPPoEの設定をして pp インターフェースにフィルターをかけます。
実際には
ip filter source-route on
ip filter directed-broadcast on
や、ident、ftp、dnsを通すフィルターなど用途に合わせて通すようにします。
では。

この回答へのお礼

度々、本当にありがとうございます。

１から丁寧な設定を教えていただき、とても参考になりました。
その後、何度か設定を変えたりしているうちになぜか、ちゃんと遮断・通過できるようになりました。
NATがうまくかかっていなかったのが原因かな？？？と、思っています。

どちらにしても、何が原因だったのかもう1度最初から見直すつもりです。
今後色々な設定をしていく上で、hirasakuさんの回答はとても参考になりました。

何かありましたらまた、よろしくおねがいします。
ありがとうございました。

お礼日時：2004/06/18 17:11

No.3 回答者： hirasaku 回答日時： 2004/06/17 20:45

こんにちは。

hirasakuです。
割り込んじゃって申し訳ないですが、
これって、RTX1000をローカルルーターとして使うんですよね。
この場合、１台で事足りてしまうような・・・　LANインターフェース３つ持ってますから。
まぁ、それはさておき、
ip spoofingのフィルタはWAN側からのなりすましに対してなのでローカルルーターとして使うのならいらない気がしますけど。
ローカルなんだからなりすましもないと思いますけどね。
しかしながら、どうしてもというのであれば、
10.0.0.0/8 はプライベートAクラスのなりすましに対して
172.16.0.0/12 はプライベートBクラスに対して
192.168.0.0/16 はプライベートCクラスに対して
YAMAHAさんはユーザーがどのクラスのプライベートを使うのかわからないため、すべてのクラスのなりすましに対してフィルターをかけてます。
それが設定例集の載ってるんだと思いますよ。

すべてのパケットが通らないのは、ip インターフェイス secuer finter のコマンドを有効にした場合、暗黙のすべて reject が入ります。
なので、フィルターの最後にすべて通す
ip filter 番号 pass * * * * *
をインターフェースのフィルターに定義します。
in と out を混ぜてフィルターをかけるとこんがらがるので、この場合、インターフェースの対して in のフィルターで、外に出さない reject を使って統一したほうがわかりやすいと思いますよ。
では。

この回答へのお礼

専門家さんからの回答、ありがとうございます。

今のところはローカルの環境で行っていますが、外側に出すためのテストなので
インターネットを仮に172.＊＊＊のローカルネットワークとして実験しています。

ローカルのＩＰにフィルタをかけるという理由、よくわかりました。
ありがとうございます。
それから、私の書き方が悪く全ての設定を載せなかったのですが、
全てのデータを通すpass ***** も入力してあるのです。

ちなみに、実際使っている(1)と(2)のＩＰである
192.168.0.0/24
192.168.1.0/24
もrejectのフィルタをかけていますが、これは全然大丈夫で遮断されないでいます。
（wan側に出るのにnatをかけています）

すいません、また何かアドバイスがあればご教授いただけますか。
どうぞよろしくおねがいします。

お礼日時：2004/06/17 21:42

No.2 回答者： root139 回答日時： 2004/06/17 16:29

まず、10.0.0.0/8 ですが、これはクラスＡのプライベート用のIPアドレスですね。

おそらく、参照されている本のサンプルのネットワークがクラスＡのプライベートアドレスを使っているからかと。
したがって、今回の件に関しては設定する必要は無いと思います。影響も無いですが。
ですので、以下の説明では、10.0.0.0/8に関する部分を省きました。

> ip filter 2 reject 192.168.0.0/16 * * * *
> ip filter 4 reject * 192.168.0.0/16 * * *
>
> ip lan2 secure filter in 2
> ip lan2 secure filter out 4

フィルタリングの方向ですが、RTシリーズでは、たしか、下記の様になっていたと思いますので、この様な前提でお話させていただきます。
(lan2側から見るとinとoutが逆転しているのでよく間違えてしまいます。(^^;)

in : lan2からルータへ入ってくるパケット
out: ルータからlan2へ出て行くパケット

上記の設定では↓の様な状態になっていると思います。
◆ lan2 → 他のネットワーク
　　送信元が192.168.～.～のパケットが破棄される。
◆ 他のネットワーク → lan2
　　送信先が192.168.～.～のパケットが破棄される。

以上のことから、もし、lan2が192.168.～.～のネットワークであれば通信が出来なくなります。

成りすましは、該当ネットワークへ外部から送られてくるパケットの送信元が、該当ネットワーク内のアドレスになっていますので、この様なパケットを破棄すれば良いことになります。

例) lan2が192.168.1.0/24の場合 ---------------------
ip filter 1 reject 192.168.1.0/24 * * * *

ip lan2 secure filter out 1 ・・・・
----------------------------------------------------


下記のページにRTシリーズの成りすましに対処するフィルタの説明が有ります。
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/i …

参考URLは、フィルタリング全般の説明です。

参考URL：http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/i …

この回答へのお礼

ありがとうございます。
10.0.0.0/8を引きずりますが、このネットワークは参照している本の
どこにも使われていないアドレスなんです。

ちなみに、lan2に入ってくるＩＰは172.＊＊＊なので今回の設定には
関係ないし、当然遮断されないものと思っていました。

難しいですね、参考ＵＲＬをじっくり拝見します。
ありがとうございました。

お礼日時：2004/06/17 17:08

No.1 回答者： root139 回答日時： 2004/06/17 14:15

フィルタリングの方向の設定なども教えて頂けますでしょうか？

例えば、ルータＡに192.168.0.0/16から来るパケットを両方向とも破棄する設定をすると、(1)からのパケットはレスポンスも含めて全て遮断されるので、通信ができない状態になりますよね。おそらく、(3)→(1)の方向のみに設定されているのだと思います。

RTX1000でしたら、下記の様なコマンドで設定されていると思いますが、該当する部分のコマンドを書いていただいても良いです。

ip filter 1 reject 192.168.0.0/16 * * * *
ip filter 2 reject 172.16.0.0／12 * * * *
pp select 1
ip pp secure filter in 1 ・・・
ip pp secure filter out 2 ・・・


また、10.0.0.0/8 に該当するネットワークは見当たりませんが、これをフィルタリングするのはなぜでしょうか？

参考URL：http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/n …

この回答への補足

早速ありがとうございます。
ココの部分だけ設定を書き出して見ます。

ip filter 1 reject 10.0.0.0/8 * * * *
ip filter 2 reject 192.168.0.0/16 * * * *
ip filter 3 reject * 10.0.0.0/8 * * *
ip filter 4 reject * 192.168.0.0/16 * * *

ip lan2 secure filter in 1 2
ip lan2 secure filter out 3 4

のようにしています。
10.0.0.0/8の設定ですが、実は私も？？です。スミマセン～～！！
今回本を見ながら設定を試しているのですが、この本にそのように書いてあったので
そのまま入力してみています。
ですが、(3)→(1)　にしても　(3)→(2)　にしても、
このアドレスには該当しないのでrejectされずにpassするのではないかなぁ、
と思っています。

逆に教えていただきたいのですが、このようなＩＰのネットワークを
わざわざ遮断する必要はあるのでしょうか？？

便乗質問で申し訳ありません。。。

補足日時：2004/06/17 15:07