8個のグローバルIPをRTX1200に設定したい

ヤマハのRTX1200に８個のグローバルIP設定で行き詰ってます。
状況は以下のようなものです。

　aaa.bbb.ccc.120/29 のグローバルアドレスの設定を目指してます

　aaa.bbb.ccc.121 でLAN側（192.168.XXX.254/24) の端末がインター
ネットの利用、VPNの設定は動作を確認済

　aaa.bbb.ccc.122 ～ aaa.bbb.ccc.126 の５ＩＰと、LAN側にある
特定端末（固定IP）５台を関連付けしたい ← これが全て通りません

そこで試行錯誤し、設定したCONFIGが以下のようなものです。

ip route default gateway pp 1
ip lan1 address 192.168.XXX.254/24
ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099
ip lan3 nat descriptor 1 2 3 4 5
pp disable all
pp select 1
description pp "PRV/PPPoE/0:NTT-ME 8IP"
pppoe use lan3
ppp lcp mru on 1454
ip pp address aaa.bbb.ccc.120/29
ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200099 dynamic 200080 200081
　　　　　　　　　　　　 200082 200083 200084 200098 200099
ip pp nat descriptor 1000
pp enable 1
ip filter 100000 reject * * udp,tcp 135 *
ip filter 100001 reject * * udp,tcp * 135
ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100004 reject * * udp,tcp netbios_ssn *
ip filter 100005 reject * * udp,tcp * netbios_ssn
ip filter 100006 reject * * udp,tcp 445 *
ip filter 100007 reject * * udp,tcp * 445
ip filter 100099 pass * * * * *
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.XXX.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.XXX.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200030 pass * 192.168.xxx.0/24 icmp * *
ip filter 200031 pass * 192.168.xxx.0/24 established * *
ip filter 200032 pass * 192.168.xxx.0/24 tcp * ident
ip filter 200033 pass * 192.168.xxx.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.xxx.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.xxx.0/24 udp domain *
ip filter 200036 pass * 192.168.xxx.0/24 udp * ntp
ip filter 200037 pass * 192.168.xxx.0/24 udp ntp *
ip filter 200080 pass * 192.168.xxx.254 esp * *
ip filter 200081 pass * 192.168.xxx.254 udp * 500
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1 masquerade
nat descriptor address outer 1 aaa.bbb.ccc.122
nat descriptor masquerade static 1 1 192.168.xxx.230 tcp 21,3389,49200,49500,49600
nat descriptor masquerade static 1 2 192.168.xxx.230 udp domain,tftp
nat descriptor type 2 masquerade
nat descriptor address outer 2 aaa.bbb.ccc.123
nat descriptor masquerade static 2 1 192.168.xxx.231 tcp 21,www,3389
nat descriptor type 3 masquerade
nat descriptor address outer 3 aaa.bbb.ccc.124
nat descriptor masquerade static 3 1 192.168.xxx.14 tcp 21,www,3389
nat descriptor type 4 masquerade
nat descriptor address outer 4 aaa.bbb.ccc.125
nat descriptor masquerade static 4 1 192.168.xxx.41 tcp 3389,9999
nat descriptor type 5 masquerade
nat descriptor address outer 5 aaa.bbb.ccc.126
nat descriptor masquerade static 5 1 192.168.xxx.234 tcp 21,www,3389
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 aaa.bbb.ccc.121
nat descriptor address inner 1000 aaa.bbb.ccc.121 192.168.xxx.1-192.168.xxx.254
nat descriptor masquerade static 1000 101 192.168.xxx.254 udp 500
nat descriptor masquerade static 1000 102 192.168.xxx.254 esp

何が間違っているのかも判らぬ状況なので、ご指摘を頂ければ幸いです。
宜しくお願い申し上げます。

No.4 ベストアンサー 回答者： maesen 回答日時： 2011/12/27 16:55

＞最後の注意文にあるように、静的NAT部にポートの指定が無い分をフィルターで補いなさいよ、という部分に注意が必要という事と理解したのですが考え方に勘違いが無ければ良いのですが。

この解釈でいいです。

静的マスカレードの場合、指定したポートを対象としたNAT変換テーブルのみが作成されます。
NAT変換テーブルないものについてはパケットが破棄されます（デフォルト設定の場合）のでサーバまで到達しません。（それでもデフォルト動作に頼らずフィルタは設定したほうがいいと思うけど）

対して静的NATは単なるアドレス変換なので、全てのパケットがサーバまで到達します。
従って、使用するプロトコル及びポートのみが通過出来るようなフィルタを設定することが重要ということになります。

この回答へのお礼

重ねてアドバイスを頂きありがとうございます。

特に問題が出なさそうなサーバー向けには要求されてるポート以外は非ウェルノウン（でしたっけ）ポートを破棄対象に。

要求が厳しいものには指定ポートを通したら、それ以外をriject（破棄）対象としようかと睨めっこ中です。

ただ、最初はパケットが通ってくれる事が最優先なので、ウェルノンポートも解放して第一段階。

利用ポートの絞り込みを第二段階として安全性と業務の支障回避を進めてみるつもりです。

今日で仕事納めな上に外耳炎でコケてしまったので再開は年越しになりますから、それまで皆さんのアドバイスとリファレンスマニュアルを交互にチェックして勉強する所存です。

本当にありがとうございます！

お礼日時：2011/12/28 13:15

No.5 回答者： EF_510 回答日時： 2011/12/27 18:28

こういった場合、ルーターですべてのフィルター設定を行うのはあまりおすすめしません。

ネットワークアドレス単位で規制できるようなものはルーターで行っても構いませんがこの事例ではまず対象のサーバーで規制を行い、集約できるような規制はルーターで行うべきかと考えます。

たとえば、内部サーバ向けの通信で21,80,3389,9999,49200,49500は通しても良い、残りは破棄。
ip filter 10000 pass * 192.168.xxx.0/24 * 21,80,3389,9999,49200,49500
ip filter 10001 reject * * * * *
↑考え方の例です。

対サーバで考える場合、通して良いポートの方が少ない方が一般的なので「通過して良い」を定義して最後にすべて破棄と書いた方が見通しが良くて楽です。

この回答へのお礼

言われてみると、例えばリモートで監視（又は操作）するためにポート3389は全ての端末（又はサーバー）に対して解放されています。

重複するものも通し、当該機でカットしたいパケットを個々のＦＷでカットするイメージでしょうか？

勘違いしてたらすみません。

この考え方は全端末、全サーバーでセキュリティ対策してるとはいえ同一セッション上に連なっているので危険だと指摘されたため無理そうです。

最初から自分がサーバーの運用前から設計できたなら、別セッションに分ける等を行い仰られるようなシンプルな形態もアリだったと思うのですが。

ツギハギになった上に前任者が不在になって回って来たのでいろいろと不明点があったり、思うようにならなかったりと頭が痛いです。

本来、こんな環境とスキルで皆さんに教えを乞う事自体が失礼なんですが。

諸案、本当にありがとうございます。

お礼日時：2011/12/28 13:28

No.3 回答者： maesen 回答日時： 2011/12/27 10:13

静的NATを使用するのであればもっと単純化出来ますね。

たしかによく見るとポート番号を変換しているわけでもないし、外側のIPアドレスをポート番号によって複数の内側のIPアドレスに振り分けているわけでもないですね。

こんな感じになりませんかね。
（間違いがあったらごめんなさいです）

nat descriptor type 1000 masquerade
nat descriptor address outer 1000 aaa.bbb.ccc.121
nat descriptor address inner 1000 aaa.bbb.ccc.121 192.168.xxx.1-192.168.xxx.254
nat descriptor masquerade static 1000 101 192.168.xxx.254 udp 500
nat descriptor masquerade static 1000 102 192.168.xxx.254 esp
nat descriptor address static 1000 1 aaa.bbb.ccc.122=192.168.xxx.230
nat descriptor address static 1000 2 aaa.bbb.ccc.123=192.168.xxx.231
nat descriptor address static 1000 3 aaa.bbb.ccc.124=192.168.xxx.14
nat descriptor address static 1000 4 aaa.bbb.ccc.125=192.168.xxx.41
nat descriptor address static 1000 5 aaa.bbb.ccc.126=192.168.xxx.234

静的NATを使用しているサーバ以外の通信はaaa.bbb.ccc.121から出たいようですし、
VPNを使用している関係上IPSecがaaa.bbb.ccc.121を使用することを保証しないとならないのでそこはIPマスカレード（静的マスカレードを含む）を使用するということです。

outerは動的に使用するもの（この場合はIPマスカレードで使用する外側IPアドレス）のみ書けば良いはずです。
（全てのグローバルIPアドレスを載せる必要はないので簡潔にするため）

静的NATと静的マスカレードの違いについては押さえておいて下さい。
静的NATにした場合はよりフィルタが重要になりますね。

この回答へのお礼

素人にも判り易い説明まで付して頂きありがとうございます！

仰る通りで、特定の外と内のアドレスを関連付けたいが、ポートの変換はありません。

アドレス毎に通したいポート指定が異なる程度です。

aaa.bbb.ccc.121はインターネット、VPNで使いたいのです。

1000のＮＡＴディスクリプタに収まってしまう事に違和感（先入観が悪さしてるらしくて）が少々ありますが、「なるほど！」と拝見させて頂きました。

最後の注意文にあるように、静的NAT部にポートの指定が無い分をフィルターで補いなさいよ、という部分に注意が必要という事と理解したのですが考え方に勘違いが無ければ良いのですが。

しかしあれだけズラズラと並べたＮＡＴディスクリプタがこんなにコンパクトに収まってしまうとは。

その分、フィルターが混み合いそうですが。

とても勉強になります、ありがとうございました！

お礼日時：2011/12/27 15:36

No.2 回答者： EF_510 回答日時： 2011/12/27 00:50

まず、やたら長いNATディスクリプター設定を単純化してからだと思います。

inner側のIPアドレスを250から連続で振った方が設定は単純ですが今のままで一部書き直します。

nat descriptor type 1000 masquerade
nat descriptor address outer 1000 aaa.bbb.ccc.121
nat descriptor address inner 1000 192.168.xxx.254
nat descriptor masquerade static 1000 101 192.168.xxx.254 udp 500
nat descriptor masquerade static 1000 102 192.168.xxx.254 esp
nat descriptor type 1010 masquerade
nat descriptor address outer 1010 aaa.bbb.ccc.122 aaa.bbb.ccc.123 aaa.bbb.ccc.124 aaa.bbb.ccc.125 aaa.bbb.ccc.126
nat descriptor address inner 1010 192.168.xxx.230 192.168.xxx.231 192.168.xxx.14 192.168.xxx.41 192.168.xxx.234
nat descriptor masquerade static 1010 1 192.168.xxx.230 tcp 21,domain,tftp,3389,49200,49500,49600
nat descriptor masquerade static 1010 2 192.168.xxx.230 udp domain,tftp
nat descriptor masquerade static 1010 3 192.168.xxx.231 tcp 21,www,3389
nat descriptor masquerade static 1010 4 192.168.xxx.14 tcp www,3389
nat descriptor masquerade static 1010 5 192.168.xxx.41 tcp 3389,9999
nat descriptor masquerade static 1010 6 192.168.xxx.234 tcp 21,www,3389
nat descriptor type 1020 masquerade
nat descriptor address outer 1020 aaa.bbb.ccc.121
nat descriptor address inner 1020 auto

自分が同じ命題を与えられたらLAN1側のアドレスを直した上で、nat descriptor staticを使うと思います。
（直さない場合は5つ書けばよろしいかと）
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 aaa.bbb.ccc.121-aaa.bbb.ccc.125
nat descriptor address inner 1000 auto
nat descriptor address static 1000 1 aaa.bbb.ccc.121=192.168.xxx.250 5
この設定で矛盾しないはずなので…

>こんな感じに直しています。
>ところが1000のNATディスクリプタのインナーが多過ぎて一部設定できませんでした。
>ブラウザからではなく、直にconfigを書けば行くのかもしれませんが、もしかしてインナーを「自動」という設定とし、他の静的なディスクリプタの最後に移動したら固定されていないアドレスを網羅できるのかと調べてる最中です。
なぜこんなにinnerが多いのでしょうか？
また、自動にして…のくだりは不可です。動的NATは適用できますが…

>フィルターに関しては相当の苦戦を強いられると思いますが、ここがザルではいけないのかと微々たる経験も思い出しながら勉強してみます。
先に接続できることを確認してからフィルター設定を行ってください。
つながらないときの原因がわからなくなりますので。

この回答へのお礼

>まず、やたら長いNATディスクリプター設定を単純化してからだと思います。
>inner側のIPアドレスを250から連続で振った方が設定は単純ですが今のままで一部書き直します。

目からウロコです。
単に課題を並べただけより効率的にまとまるんですね！勉強になります。

>自分が同じ命題を与えられたらLAN1側のアドレスを直した上で、nat descriptor staticを使うと思います。
>（直さない場合は5つ書けばよろしいかと）

痛いところです、既にサーバー役のＰＣが稼動していてアドレスを動かせない足かせがありまして。
当時から計画的に設計されてればこんなパズルみたいに混乱しなかったのですが…。

>この設定で矛盾しないはずなので…

ですよね、継ぎ貼りを繰り返した結果が今の状況でなければここまでスマートに纏められたと思います。
勉強して前任の遺産を整理したいところです。

>>こんな感じに直しています。
>>ところが1000のNATディスクリプタのインナーが多過ぎて一部設定できませんでした。
>>ブラウザからではなく、直にconfigを書けば行くのかもしれませんが、もしかしてインナーを「自動」という設定とし、他の静的なディスクリプタの最後に移動したら固定されていないアドレスを網羅できるのかと調べてる最中です。

>なぜこんなにinnerが多いのでしょうか？

グローバルＩＰの数だけＮＡＴディスクリプタが必要かと考え、それぞれに付けた結果なのですが…、意味無かったのでしょうか。

>また、自動にして…のくだりは不可です。動的NATは適用できますが…

ブラウザでＮＡＴの設定をするとアドレスを指定するか、自動（AUTO）というチェックボックスが出て来るので、この自動を指したつもりでした。


>>フィルターに関しては相当の苦戦を強いられると思いますが、ここがザルではいけないのかと微々たる経験も思い出しながら勉強してみます。
>先に接続できることを確認してからフィルター設定を行ってください。
つながらないときの原因がわからなくなりますので。

問題の分解点が不明瞭になるってことですよね、キモに命じます！

貴重なご指摘、多数頂きありがとうございます。

お礼日時：2011/12/27 02:01

No.1 回答者： maesen 回答日時： 2011/12/26 14:41

＞ip lan3 nat descriptor 1 2 3 4 5

LAN3はPPPoEで使用するように設定しているのでここにNATを設定しても機能しません。

＞ip pp nat descriptor 1000

PPPoEを使用しているこのpp1に静的マスカレードを設定もする必要があります。

番号は調整してもらうとしてこんな感じ

ip pp nat descriptor 1000 1 2 3 4 5

ただこのままだとNATディスクリプタ番号1000とそのほかのNATディスクリプタ番号でinnerが重複するので、
NATディスクリプタ番号1～5は、きちんと静的マスカレードするIPアドレスをinnerとして記述する。
NATディスクリプタ番号1000は、1～5で使用するIPアドレスが含まれないようにinnerを設定する
という措置が必要だと思います。

あと細かくは見ていませんが、フィルタ設定もこのままではいけないような気がします。公開する5個のIPアドレスへのケアが必要だと思います。

この辺が参考になるかもしれません。
http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/tunne …
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descri …

この回答へのお礼

丁寧な説明に感謝致します。
初歩的な知識が欠損してる輩が手を出すものじゃないなと痛感中です。
NATディスクリプタとアダプタの設定も言われて初めて「あれ？」と気付く情けなさだったりします。
今途中まで手を入れてみてるのですが、
ip pp nat descriptor 1000 1010 1020 1030 1040 1050
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 aaa.bbb.ccc.121
nat descriptor address inner 1000 aaa.bbb.ccc.121 192.168.xxx.1-192.168.xxx.13 192.168.xxx.15-192.168.xxx.40 192.168.xxx.42-192.168.xxx.229 192.168.xxx.235-192.168.xxx.254
nat descriptor masquerade static 1000 101 192.168.xxx.254 udp 500
nat descriptor masquerade static 1000 102 192.168.xxx.254 esp
nat descriptor type 1010 masquerade
nat descriptor address outer 1010 aaa.bbb.ccc.122
nat descriptor address inner 1010 192.168.xxx.230
nat descriptor masquerade static 1010 1 192.168.xxx.230 tcp 21,domain,tftp,3389,49200,49500,49600
nat descriptor masquerade static 1010 2 192.168.xxx.230 udp domain,tftp
nat descriptor type 1020 masquerade
nat descriptor address outer 1020 aaa.bbb.ccc.123
nat descriptor address inner 1020 192.168.xxx.231
nat descriptor masquerade static 1020 1 192.168.xxx.231 tcp 21,www,3389
nat descriptor type 1030 masquerade
nat descriptor address outer 1030 aaa.bbb.ccc.124
nat descriptor address inner 1030 192.168.xxx.14
nat descriptor masquerade static 1030 1 192.168.xxx.14 tcp 21,www,3389
nat descriptor type 1040 masquerade
nat descriptor address outer 1040 aaa.bbb.ccc.125
nat descriptor address inner 1040 192.168.xxx.41
nat descriptor masquerade static 1040 1 192.168.xxx.41 tcp 3389,9999
nat descriptor type 1050 masquerade
nat descriptor address outer 1050 aaa.bbb.ccc.126
nat descriptor address inner 1050 192.168.xxx.234
nat descriptor masquerade static 1050 1 192.168.xxx.234 tcp 21,www,3389
こんな感じに直しています。
ところが1000のNATディスクリプタのインナーが多過ぎて一部設定できませんでした。
ブラウザからではなく、直にconfigを書けば行くのかもしれませんが、もしかしてインナーを「自動」という設定とし、他の静的なディスクリプタの最後に移動したら固定されていないアドレスを網羅できるのかと調べてる最中です。
フィルターに関しては相当の苦戦を強いられると思いますが、ここがザルではいけないのかと微々たる経験も思い出しながら勉強してみます。
本当にありがとうございます。

お礼日時：2011/12/26 17:24