YAMAHAのRTX1000でファイアウォールの設定をしているのですが、
よくわからない部分があるので教えてください。
現在の状況は、テスト環境で、例えていうと
(1)192.168.0.0/24
(2)192.168.1.0/24
(3)172.16.0.0/12
の3つのネットワークがあり、
(1)⇔ルーターA⇔(3)⇔ルーターB⇔(2)
のようにしてあります。
このルーターの双方に、なりすましの進入を防ぐ設定として
10.0.0.0/8と192.168.0.0/16から来るデータと、
10.0.0.0/8と192.168.0.0/16へ行くデータを 遮断する設定をしました。
と、全てのデータが遮断されてしまうのです。
組み合わせではなく、このうち1つでも設定をすると繋がらなくなってしまう
のですが、どうしてなのでしょうか・・?
初歩的な質問かもしれませんが、どうぞご教授ください。
よろしくおねがいします。
No.4ベストアンサー
- 回答日時:
こんにちは。
hirasakuです。そうだったんですか。TESTだったんですね。
それでしたら、ルーターAでこんな感じでしょうか。
ip route default gateway ルーターBのLAN2アドレス
ip lan1 address 192.168.0.1/24
ip lan2 address 172.16.0.1/16
ip lan2 secure filter in 10 11 12
ip lan2 nat descriptor 1
ip filter 10 reject 192.168.0.0/24 * * * *
ip filter 11 pass * 192.168.0.0/24 icmp * *
ip filter 12 pass * 192.168.0.0/24 established * *
nat descriptor type 1 masquerade
nat descriptor address outer 1 172.16.0.1
nat descriptor address inner 1 192.168.0.1-192.168.0.254
10のフィルターでなりすまし防止
11のフィルターはPINGなどを通す
12のフィルターはLAN1内からTCPセッションを張りに行ったやつの帰りを通す。
この場合、外(LAN2)からのを防ぐのでLAN2にフィルターをかけます。
LAN1に対してはフィルターをかけてないのでin out すべて通します。
ルーターBはアドレスを変えるだけでいいと思いますよ。
接続形態にもよりますけど、PPPoEを使うならPPPoEの設定をして pp インターフェースにフィルターをかけます。
実際には
ip filter source-route on
ip filter directed-broadcast on
や、ident、ftp、dnsを通すフィルターなど用途に合わせて通すようにします。
では。
度々、本当にありがとうございます。
1から丁寧な設定を教えていただき、とても参考になりました。
その後、何度か設定を変えたりしているうちになぜか、ちゃんと遮断・通過できるようになりました。
NATがうまくかかっていなかったのが原因かな???と、思っています。
どちらにしても、何が原因だったのかもう1度最初から見直すつもりです。
今後色々な設定をしていく上で、hirasakuさんの回答はとても参考になりました。
何かありましたらまた、よろしくおねがいします。
ありがとうございました。
No.3
- 回答日時:
こんにちは。
hirasakuです。割り込んじゃって申し訳ないですが、
これって、RTX1000をローカルルーターとして使うんですよね。
この場合、1台で事足りてしまうような・・・ LANインターフェース3つ持ってますから。
まぁ、それはさておき、
ip spoofingのフィルタはWAN側からのなりすましに対してなのでローカルルーターとして使うのならいらない気がしますけど。
ローカルなんだからなりすましもないと思いますけどね。
しかしながら、どうしてもというのであれば、
10.0.0.0/8 はプライベートAクラスのなりすましに対して
172.16.0.0/12 はプライベートBクラスに対して
192.168.0.0/16 はプライベートCクラスに対して
YAMAHAさんはユーザーがどのクラスのプライベートを使うのかわからないため、すべてのクラスのなりすましに対してフィルターをかけてます。
それが設定例集の載ってるんだと思いますよ。
すべてのパケットが通らないのは、ip インターフェイス secuer finter のコマンドを有効にした場合、暗黙のすべて reject が入ります。
なので、フィルターの最後にすべて通す
ip filter 番号 pass * * * * *
をインターフェースのフィルターに定義します。
in と out を混ぜてフィルターをかけるとこんがらがるので、この場合、インターフェースの対して in のフィルターで、外に出さない reject を使って統一したほうがわかりやすいと思いますよ。
では。
専門家さんからの回答、ありがとうございます。
今のところはローカルの環境で行っていますが、外側に出すためのテストなので
インターネットを仮に172.***のローカルネットワークとして実験しています。
ローカルのIPにフィルタをかけるという理由、よくわかりました。
ありがとうございます。
それから、私の書き方が悪く全ての設定を載せなかったのですが、
全てのデータを通すpass ***** も入力してあるのです。
ちなみに、実際使っている(1)と(2)のIPである
192.168.0.0/24
192.168.1.0/24
もrejectのフィルタをかけていますが、これは全然大丈夫で遮断されないでいます。
(wan側に出るのにnatをかけています)
すいません、また何かアドバイスがあればご教授いただけますか。
どうぞよろしくおねがいします。
No.2
- 回答日時:
まず、10.0.0.0/8 ですが、これはクラスAのプライベート用のIPアドレスですね。
おそらく、参照されている本のサンプルのネットワークがクラスAのプライベートアドレスを使っているからかと。したがって、今回の件に関しては設定する必要は無いと思います。影響も無いですが。
ですので、以下の説明では、10.0.0.0/8に関する部分を省きました。
> ip filter 2 reject 192.168.0.0/16 * * * *
> ip filter 4 reject * 192.168.0.0/16 * * *
>
> ip lan2 secure filter in 2
> ip lan2 secure filter out 4
フィルタリングの方向ですが、RTシリーズでは、たしか、下記の様になっていたと思いますので、この様な前提でお話させていただきます。
(lan2側から見るとinとoutが逆転しているのでよく間違えてしまいます。(^^;)
in : lan2からルータへ入ってくるパケット
out: ルータからlan2へ出て行くパケット
上記の設定では↓の様な状態になっていると思います。
◆ lan2 → 他のネットワーク
送信元が192.168.~.~のパケットが破棄される。
◆ 他のネットワーク → lan2
送信先が192.168.~.~のパケットが破棄される。
以上のことから、もし、lan2が192.168.~.~のネットワークであれば通信が出来なくなります。
成りすましは、該当ネットワークへ外部から送られてくるパケットの送信元が、該当ネットワーク内のアドレスになっていますので、この様なパケットを破棄すれば良いことになります。
例) lan2が192.168.1.0/24の場合 ---------------------
ip filter 1 reject 192.168.1.0/24 * * * *
ip lan2 secure filter out 1 ・・・・
----------------------------------------------------
下記のページにRTシリーズの成りすましに対処するフィルタの説明が有ります。
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/i …
参考URLは、フィルタリング全般の説明です。
参考URL:http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/i …
ありがとうございます。
10.0.0.0/8を引きずりますが、このネットワークは参照している本の
どこにも使われていないアドレスなんです。
ちなみに、lan2に入ってくるIPは172.***なので今回の設定には
関係ないし、当然遮断されないものと思っていました。
難しいですね、参考URLをじっくり拝見します。
ありがとうございました。
No.1
- 回答日時:
フィルタリングの方向の設定なども教えて頂けますでしょうか?
例えば、ルータAに192.168.0.0/16から来るパケットを両方向とも破棄する設定をすると、(1)からのパケットはレスポンスも含めて全て遮断されるので、通信ができない状態になりますよね。おそらく、(3)→(1)の方向のみに設定されているのだと思います。
RTX1000でしたら、下記の様なコマンドで設定されていると思いますが、該当する部分のコマンドを書いていただいても良いです。
ip filter 1 reject 192.168.0.0/16 * * * *
ip filter 2 reject 172.16.0.0/12 * * * *
pp select 1
ip pp secure filter in 1 ・・・
ip pp secure filter out 2 ・・・
また、10.0.0.0/8 に該当するネットワークは見当たりませんが、これをフィルタリングするのはなぜでしょうか?
参考URL:http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/n …
この回答への補足
早速ありがとうございます。
ココの部分だけ設定を書き出して見ます。
ip filter 1 reject 10.0.0.0/8 * * * *
ip filter 2 reject 192.168.0.0/16 * * * *
ip filter 3 reject * 10.0.0.0/8 * * *
ip filter 4 reject * 192.168.0.0/16 * * *
ip lan2 secure filter in 1 2
ip lan2 secure filter out 3 4
のようにしています。
10.0.0.0/8の設定ですが、実は私も??です。スミマセン~~!!
今回本を見ながら設定を試しているのですが、この本にそのように書いてあったので
そのまま入力してみています。
ですが、(3)→(1) にしても (3)→(2) にしても、
このアドレスには該当しないのでrejectされずにpassするのではないかなぁ、
と思っています。
逆に教えていただきたいのですが、このようなIPのネットワークを
わざわざ遮断する必要はあるのでしょうか??
便乗質問で申し訳ありません。。。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- ルーター・ネットワーク機器 家庭内LAN 4 2023/06/29 12:13
- その他(インターネット接続・インフラ) wifiルーターを替えたらswitchbot ハブミニが接続できなくなった 3 2023/07/07 13:58
- FTTH・光回線 VPNルーターを設置したいですが、配線、設定に困っています。 2 2022/08/28 18:20
- gooブログ ルーターに侵入されデータを読まれている 3 2022/10/17 14:27
- Wi-Fi・無線LAN 新しく買い替えた無線LANルーターの回線が安定しない件についてご質問させてください。 ソフトバンク光 2 2022/07/30 20:42
- ルーター・ネットワーク機器 二重ルーターでふたつのイーサネットに接続したい時は、pcieのイーサネットのやつを買ってきてそれとマ 3 2022/08/15 10:56
- Wi-Fi・無線LAN NTTモデムとバッファローのルーターを初期化した場合 6 2023/05/03 00:41
- Wi-Fi・無線LAN 鉄筋2階建て、Atermのルーター3台の接続、配置等について 3 2023/03/29 21:12
- Wi-Fi・無線LAN 無線LANルーターを購入したら、初期設定が必要ですか? 5 2022/11/02 10:14
- FTTH・光回線 ONUのアドレスを変更したいが 3 2023/03/23 17:50
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ciscoの設定コマンド
-
YAMAHA RT58iの設定方法を教え...
-
IPアドレス「0/16」とか「0/24...
-
同一ネットワークとはどういう...
-
【Hyper-Vの質問】ホストOS以外...
-
セグメントとサブネット
-
異なるセグメント間での通信(ル...
-
ルータでLAN側WAN側を同じネッ...
-
イーサネットとは? vイーサネ...
-
UltraVNCでサーバに接続できま...
-
ciscoスイッチ VLANが違うポー...
-
ループバック、pingに詳しい方
-
あるネットワーク(IP、MACアド...
-
光コンセントとlanポートがある...
-
port 135
-
家庭内LANの2台のPC間で「ネッ...
-
セグメントの違うプリンターで...
-
Visual Studio Codeのエラーに...
-
スカパー(@skyperfectv.co.jp...
-
ネットワークの管理者ってなん...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
CiscoルータのIPアドレス設定に...
-
YAMAHA RT58iの設定方法を教え...
-
ciscoの設定コマンド
-
YAMAHA RTX1100 IPSecインター...
-
ip default-gatewayとip route ...
-
ルーティング
-
ルーターでファイアウォールの設定
-
Cisco1712の設定・ルータとして...
-
YAMAHA RT105eで(初心者質問
-
IPアドレス「0/16」とか「0/24...
-
同一ネットワークとはどういう...
-
異なるセグメント間での通信(ル...
-
ルータでLAN側WAN側を同じネッ...
-
セグメントとサブネット
-
ciscoスイッチ VLANが違うポー...
-
すべてのパブリックネットワー...
-
Visual Studio Codeのエラーに...
-
片方のPCからはPINGが飛...
-
家庭内LANの2台のPC間で「ネッ...
-
ネットワーク経由のファイルコ...
おすすめ情報