マイクロ総合研究所 NetGenesis SuperOPT90

冗長とは思えますが、フィルタ設定でサーバにのみ関連するものはアドレスをサーバに限定しました。
この設定は、大樹さんとの競作で動作確認したものです。この機種は、1023以下のポートもマスカレードするので、PORTモードでFTPサーバを構築した場合、クライアント側が20番ポートでしかPORTモードのデータコネクションを受け付けないように設定しているクライアント(おやじの設定や下記設定も同じ)では、サーバに接続はできますが、実際のデータのやり取り(リスト表示を含む)はできません。
ファームウェアVer4.203.00以降、FTPサーバを公開するときのPASVモード対策をサポートしたため、データコネクション関係のスタティックNATやフィルタは設定しなくても接続できるようです。デーモン側のNAT対策もしないようにしてください。

[DHCP/固定IP]

 説明書の内容で、各自の環境に合わせて設定すればよい。

■LANポートIPアドレス

 このルータのデフォルトは「192.168.0.1/24」になっているので、DHCP/固定IPにかかわらず変更する場合は、設定画面のメニューの[基本設定]の「IPアドレス/サブネット」欄に変更する値を入力する。

項 目 DHCP 固定IP
IPアドレス/サブネット 192.168.1.1/24 192.168.1.1/24

■DHCPサーバ機能

 設定画面のメニューの「LANポートの設定」の中の、[DHCPサーバー設定]で設定する。

項 目 DHCP 固定IP
DHCPサーバー機能を使用する チェック チェックを外す
先頭IPアドレス/サブネット 192.168.1.2/24 -
付与IPアドレス数 16 -
ゲートウェイ 192.168.1.1 -
プライマリ/セカンダリDNS xx.xx.xx.xx -
ドメイン名 aconus.com -
リース期限 24:00:00 -

*:DNS関係は、ルータをDNSサーバとして動かす場合に設定する。
 契約しているISP等から提供された、インターネットへ接続するための資料等に従い設定するが、自動取得できる場合は、「WAN側から取得した・・・・」にチェックを入れる。

[IPマスカレード]

 設定画面のメニューの「WANポートの設定」の中の、[動作モード設定]で設定するが、一般的には「DHCPクライアント」か「PPPoEクライアント」を選択することになるが、この選択をするだけで、IPマスカレード機能(IPアドレス変換有効)になる。

[スタティックNAT]

 設定画面メニューの「WANポートの設定」の中の、[IPマスカレードテーブル設定]で設定する。登録リスト [変換IPアドレス]欄右下の[編集]ボタンをクリックして各ポートを追加していく。最後に設定ボタンを押して設定を保存するのを忘れないこと。

No. プロトコル 先頭ポート番号 終了ポート番号 変換IPアドレス
1 TCP 21 21 192.168.1.100
2 TCP 25 25 192.168.1.100
3 TCP 80 80 192.168.1.100
4 TCP 110 110 192.168.1.100
5 TCP 443 443 192.168.1.100
6 TCP 4000 4029 192.168.1.100

[フィルタリング]

 設定画面のメニューの「LANポートの設定」の中の、[ファイアウォール設定]で設定する。この機種はフラグが使えるので、かなりきめ細かいフィルタを書くことができる。CPUのパワーもあるので、フィルタをかなり書いてもスループットの低下はある程度防げると思われる。
 このルータは、「IPフレームの処理ポリシー」が設定でき、フィルタにマッチしなかったとき通過させるか、遮断するか設定できる。遮断に設定すると64個のフィルタでは書ききれないのと、全てのアプリが使用しているポートを調べなければならないので、ここでは通過に設定(デフォルト)し、フィルタには、最後の行にWANから始まる通信については、TCPのsynフラグ付きはフィルタにマッチしなかったら遮断させるルール(暗黙のDeny)を設定し、WAN側から通信が始まるものは明示的に許可設定しないと通過しないようにしてある。この設定は、逆方向、つまり、LAN側から始まった通信、例えば外部のHPをHTTPで見る場合の帰りのパケットは通過する。LANからWAN方向は、フィルタで明示的に遮断している。

[注] ・ ID欄は説明上、おやじが付与したもの。但し、順番は守ること。順番の入れ替えは、後でできるので設定時は編集で追加していけばよい。
    ・ IN/OUT欄の「WAN/PPPoE」は、WAN側の動作モードに合わせて選択のこと。
      WANは、単なるNATルータとして動作させている場合であり、PPPoEはOPT90でPPPoEを終端している場合である。
    ・ TCP Flag欄の「syn」はsynフラグのみ+synとし、他のフラグは-xxxとすること。
    

ID Action IN OUT IP/Mask Port No. DNS
QType		 Protocol TCP
Flag
Src - Dst Src - Dst
1 cut WAN/PPPoE any 10.0.0.0/8 and - - or - - any -
2 cut any WAN/PPPoE - and 10.0.0.0/8 - or - - any -
3 cut WAN/PPPoE any 172.16.0.0/12 and - - or - - any -
4 cut any WAN/PPPoE - and 172.16.0.0/12 - or - - any -
5 cut WAN/PPPoE any 192.168.0.0/16 and - - or - - any -
6 cut any WAN/PPPoE - and 192.168.0.0/16 - or - - any -
7 cut any any - - - netbios-ns
/netbios-ssn		 or netbios-ns
/netbios-ssn		 - tcp -
8 cut any any - - - netbios-ns
/netbios-ssn		 or netbios-ns
/netbios-ssn		 - udp -
9 cut any any - - - microsoft-ds
/microsoft-ds		 or microsoft-ds
/microsoft-ds		 - tcp -
10 cut any any - - - microsoft-ds
/microsoft-ds		 or microsoft-ds
/microsoft-ds		 - udp -
11 pass any any - - - 53 or 53 - udp -
12 pass any any - - - 123 or 123 - udp -
13 cut any any - - - - - - - udp -
14 pass any any - - - - - - - icmp -
15 cut LAN any - - - - and 1243 - tcp -
16 cut LAN any - - - - and 12345 - tcp -
17 cut LAN any - - - - and 27374 - tcp -
18 cut LAN any - - - - and 31785 - tcp -
19 pass WAN/PPPoE LAN - - - 20 and - - tcp syn
20 pass WAN/PPPoE LAN - - 192.168.1.100 - and 21 - tcp syn
21 pass WAN/PPPoE LAN - - 192.168.1.100 - and 25 - tcp syn
22 pass WAN/PPPoE LAN - - 192.168.1.100 - and 80 - tcp syn
23 pass WAN/PPPoE LAN - - 192.168.1.100 - and 110 - tcp syn

24

pass

 WAN/PPPoE

LAN

-

-

192.168.1.100

-

 and

443

-

tcp

syn
25 pass WAN/PPPoE LAN - - 192.168.1.100 - and 4000/4029 - tcp syn
26 cut WAN/PPPoE any - - - - - - - tcp syn 
ID. 1〜 6 : WANからのプライベートIPになりすましての侵入防止。
ID. 7〜10 : Microsoft ネットワーク関連のパケットの流出防止。(デフォルト)
ID.11〜13 : UDP関係の設定。ID.13で上で通過と指定したもの以外のUDPをカット。
ID.14     : ping/tracerouteのための設定。
ID.15〜18 : トロイの木馬対策。
ID.19〜26 : TCP関係の設定。ここには、WAN側から通信が開始されるサーバ関係のポートを通過設定。
            ID.26で上で通過と指定したもの以外のWAN側から通信が開始されるTCPをカット。

戻る