ルータの設定(YAMAHA)について質問です。

ルータの設定(YAMAHA)について質問です。

現在YAMAHAのRTX1200のルータを使用してインターネット接続設定をしています。
フィルターについてですが、
ip filter 1010 reject * * udp,tcp 135 *のようなrejectの設定と
ip filter 3000 pass * *という定義がしてあります。
次にその定義を適用するために
ip pp secure filter out 1010 3000 dynamic 201
となています。
1010でrejectしているのに3000ですべて許可しているのでrejectの意味があるのかと思ってしまいますが
どういう意味なのでしょうか。

以上よろしくお願いします。

No.3 回答者： koi1234 回答日時： 2010/06/02 00:55

>1.何も設定しない状態だとすべてpassする

違います
YAMAHAルータの場合何も設定していないとrejectがデフォルトになります

>2.1つ以上のrejectの設定をするとすべてrejectされる
上に書いたように未設定のものはrejectが標準設定となりますので
PASS設定していないものはすべてrejectされます

>3.1つ以上のrejectを行いpassの設定を行うことでrejectで設定したものだけが破棄され　　　　　　>　その他は正常に通過する
確かにそうなりますが
ルールは上に書いたように適用されます
ですのでどちらかといえば必要なpass設定のみを行ったほうがセキュリティは高くなります
元質問の場合でいえば フィルタ3000で全プロトコル・全ポート通過設定にしてるだけです

余談となりますが
PASS設定したものは静的設定となるのでポート的には常に開放
dynamicで設定した場合は動的設定で必要に応じて自動的に一定時間開放されます
必要に応じて使い分けると良いでしょう

No.2 回答者： John_Papa 回答日時： 2010/06/01 15:13

フィルターの順序でreject udp,tcp 135 が適応された残り（残りにudp,tcp 135は有りません）がpassになりますので、正解です。

ip pp secure filter out 3000 1010 dynamic 201　と順序が入れ替わると全てがｐａｓｓになるのでrejectが無効になってしまいます。

フィルターの適応順と内容を工夫して、できるだけ少ない工程で効果的なフィルターを掛けましょう。

No.1 回答者： koi1234 回答日時： 2010/06/01 15:09

ルールは記載してある順番に適用されるので

まずポート135を使った通信データが破棄され（フィルタ 1010）
フィルタ3000によってその段階で残っている通信データが全て通過設定となります

この回答への補足

追加で質問です。
だいぶ理解できました。
確認ですが、1.何も設定しない状態だとすべてpassする
2.1つ以上のrejectの設定をするとすべてrejectされる
3.1つ以上のrejectを行いpassの設定を行うことでrejectで設定したものだけが破棄され　　　　　　　その他は正常に通過する

上記の考え方でいいでしょうか。

補足日時：2010/06/01 23:41