FrontPage  Index  Search  Changes  Login

IT pass HikiWiki - [ROUTER]フィルタリングの設定 Diff

  • Added parts are displayed like this.
  • Deleted parts are displayed like this.
== 概要

NATルータ下流から上流に変なパケットを出さないように, 不必要なパケット
をフィルタリングする.

== 設計

基本的に
* デフォルトでパケット破棄
* 許可するパケットのみ許可
とする.

tcp,udpともにdst port, src portをチェックする静的フィルタを行う. ftpのみ動的フィルタを用いる.

tcpの場合は下流から上流に向けて送られたdstポート番号が以下のパケット,
および上流から下流に向けて送られたsrcポート番号が以下のパケットを許

   * ssh(22),smtp(25),dns(53),http(80),pop3(110),https(443),printer(515),submission(587)

udpの場合は下流からdstポート番号が以下, あるいは上流からsrcポート番号が以下の場合にパケットを通す.
   * dns(53),ntp(123)

== 設定

下流から上流へ(dst portでフィルタ).
# ip filter 10 pass-log * * tcp * 21,22,25,53,80,110,443,515,587
# ip filter 20 pass-log * * udp * 53,123

上流から下流へ(src portでフィルタ).
# ip filter 110 pass-log * * tcp 21,22,25,53,80,110,443,515,587 *
# ip filter 120 pass-log * * udp 53,123 *

双方向
# ip filter 210 pass-log * * icmp

例外(ftp)
# ip filter dynamic 310 192.168.16.0/24 * ftp

設定
# ip lan1 secure filter out 10 20 210 dynamic 310
# ip lan1 secure filter in 110 120 210

ここでlan1ではなくlan2に対してフィルタを適用するとうまくいかないので注意.

各々のパケットはフィルタ番号が小さいフィルタから順番にチェックされ, passすることになった時点でフィルタの適用を終える. 従って, 使用頻度に応じてフィルタ番号順序を適当に並べ替えておくと良いのだが, 対して負荷もかからないと思われるので順番は適当である.

== 参考

* ((<IP フィルタリング|URL:http://www.ep.sci.hokudai.ac.jp/~epnat/dvlop_old/y2007/ipfilter.html>))

最近の更新

2024-11-20
2024-11-13
2024-11-12
2024-11-08
2024-11-06
2024-11-05
2024-10-30

Generated by Hiki 2.0.0.pre1 (2014-08-13).
Powered by Ruby 2.7.4-p191 (2021-07-07).
Founded by IT pass members.