RTシリーズのIPパケット・フィルタに関するFAQ

NTPサーバを公開するフィルタ/NTPサーバに接続するフィルタを教えてください

[ NTP通信のフィルタ ]

• NTPの接続

  インターネットを介して基本となるフィルタ設定の 適用されたRT(A)とRT(B)があるネットワーク環境で、NTPサーバと NTPクライアントが通信するために必要な、フィルタの 設定を紹介する。

  (TCP/IPネットワークまたはインターネット) ====================================================================== | | +----[WAN]----+RT(A) RT(B)+----[WAN]----+ | +--+--+ | | +--+--+ | | |↓|↑| |PP側フィルタ PP側フィルタ| |↓|↑| | | +--+--+ | | +--+--+ | | | | | | | | (R) | | (R) | | | | | | | | +--+--+ | | +--+--+ | | |↓|↑| |LAN側フィルタ LAN側フィルタ| |↓|↑| | | +--+--+ | | +--+--+ | +----[LAN]----+ 172.16.184.33 192.168.0.1 +----[LAN]----+ | | =======+======= 172.16.184.32/28 192.168.0.0/24 =======+======= | | +---------+---------+ 172.16.184.34 192.168.0.2 +---------+---------+ | NTPサーバ | | NTPクライアント | | | | (桜時計とか) | | | ＜通信形式:UDP＞ | | | [123]| ←──────────── |[*] | | | ────────────→ | (123,1024〜65535)| +-------------------+ +-------------------+

• サービスを公開する側→(A)側のフィルタ設定

  基本となるフィルタ設定では、 NTPサーバへの接続は、拒否されますので、 172.16.184.34のNTPサーバを公開するフィルタを 追加設定する必要があります。

  # フィルタ定義例 (NTPサーバが172.16.184.34の場合) ip filter 5 pass * 172.16.184.34 udp * ntp

  # フィルタ適用例 (接続先のPP番号が1の場合) pp select 1 ip pp secure filter in 5 10 11 12 13 14 15

  　
• サービスを利用する側→RT(B)側のフィルタ設定
  • セキュリティ・レベル (ファイアウォール機能を搭載したネットボランチ)

    ファイアウォール機能を搭載したネットボランチでは、 プロバイダ接続設定で「セキュリティ・レベル」という機能をもっており、 レベル変更をすることで高いセキュリティを保ったまま、 NTPの通信を「かんたん」に通すことができます。
    セキュリティ・レベルを6または7に設定してください。
    ただし、CATVインターネットなどの環境でプロバイダから付与される IPアドレスなどがプライベートアドレスである場合には、 セキュリティ・レベルを6にしてください。

    セキュリティ・レベル	1	2	3	4	5	6	7
    予期しない発呼を防ぐフィルタ	○	○	○	○	○	○	○
    セキュリティホールになり易いポートを塞ぐフィルタ ポート番号:135,137,138,139,445(NetBIOSなど)		○	○	○	○	○	○
    プライベートアドレスでの通信を防ぐフィルタ (ingress/egress filtering風)			○		○		○
    静的セキュリティ・フィルタ				◎	◎
    動的セキュリティ・フィルタ						☆	☆

    (参考)

    • PDF書庫
      • ネットボランチのセキュリティ・フィルタ
      • ファイアウォール機能の説明資料
    • RTA54iのwww設定画面のスクリーン・ショット
      • RTA54i Rev.4.03.10のプロバイダ接続設定のファイアウォール機能の「セキュリティレベル5」の詳細な説明
      • RTA54i Rev.4.03.10のプロバイダ接続設定のファイアウォール機能の「セキュリティレベル7」の詳細な説明

  • 動的セキュリティ・フィルタ (動的フィルタ機能を活用したセキュリティ・フィルタ)

    NTPは、UDPを用いているので、動的フィルタでUDPの定義を追加します。

  • 静的セキュリティ・フィルタ (静的フィルタ機能を活用したセキュリティ・フィルタ)

    NTPは、UDPを用いているので、基本となるフィルタ設定の 12番(established)では、 通信を通過させることができません。

    NTPクライアントを利用可能とするフィルタは、セキュリティを 厳密に考慮するならば、利用形態を制限することが望まれます。 利用形態を制限した分だけ、安全性が高まる可能性があります。
    フィルタによるいくつかの利用形態の制限方法を紹介します。

    # お薦め「セキュリティを保ちつつ、どのホストからも時刻合せが可能」 # フィルタ定義例 (NTPサーバの172.16.184.34を特定する場合) ip filter 5 pass 172.16.184.34 192.168.0.1-192.168.0.254 udp ntp ntp,1024-65535

    # フィルタ定義例 (NTPサーバを172.16.184.34に特定、ポート番号を49152-65535に制限) ip filter 5 pass 172.16.184.34 192.168.0.1-192.168.0.254 udp ntp ntp,49152-65535

    # フィルタ定義例 (RTシリーズのNTPクライアントが192.168.0.1の場合) ip filter 5 pass * 192.168.0.1 udp ntp ntp

    # フィルタ定義例 (NTPクライアントが192.168.0.2の場合) ip filter 5 pass * 192.168.0.2 udp ntp 1024-65535

    # フィルタ定義例 (NTPクライアントの192.168.0.2のポート番号を49152-64095に制限) ip filter 5 pass * 192.168.0.2 udp ntp 49152-65535

    # フィルタ定義例 (複数のNTPクライアントを許す場合) ip filter 5 pass * 192.168.0.1,192.168.0.2 udp ntp ntp,1024-65535

    # フィルタ定義例 (複数のNTPクライアントを許可、ポート番号を49152-64095に制限) ip filter 5 pass * 192.168.0.1,192.168.0.2 udp ntp ntp,49152-65535

    # お薦め「特定のホストから時刻合せが可能」 # フィルタ定義例 (さらにNTPサーバの172.16.184.34を特定する場合) ip filter 5 pass 172.16.184.34 192.168.0.1,192.168.0.2 udp ntp ntp,1024-65535

    # フィルタ定義例 (さらにポート番号を49152-64095に制限) ip filter 5 pass 172.16.184.34 192.168.0.1,192.168.0.2 udp ntp ntp,49152-65535

    # フィルタ適用例 (接続先のPP番号が1の場合) pp select 1 ip pp secure filter in 5 10 11 12 13 14 15

[ 設定の注意事項 ]

• 設定例のネットワーク構成や設定は、説明のための仮アドレスです。

  説明のためにIPアドレス(TCP/IPネットワーク)として、 192.168.0.0/24を用いております。 内側のネットワークがグローバルアドレスでも、プライベートアドレスでも、 アドレスを調整するだけで、ほぼ同等の設定となります。

  実際に適用する場合には、実際のネットワーク状況に合せて調整してください。

• ポート番号の制限

  ポート番号は、一般的な利用環境で利用されているものを 御紹介しております。 サーバやクライアントで変更可能であったり、 アドレス変換機能など介することでポート番号が変換されることも あります。
  ご利用環境を十分調査してから最終的なフィルタ設定を行なってください。

• プロバイダとの接続にNATやIPマスカレードを適用している場合の注意事項

  RTシリーズのIPパケットフィルタは、NATの内側で適用されている為、 NAT変換の有無をほとんど気にすることなく、設定(適用)することができます。

  しかし、実際の通信では、NATやIPマスカレードのアドレス変換機能を 通すための追加設定が必要である場合があります。
  例えば、RTシリーズでは、静的NATや静的IPマスカレードといった設定です。

[ 基本となるフィルタ ]

• ネットワーク構成

  インターネット 　　　　DNSサーバ 　　メールサーバ　　　　　↑ 　　　　　　│　　　　　　　│　　　　　　　│　　＜プロバイダ＞ ━━━━┯━┷━━━━━━━┷━━━━━━━┷━━━━━━━━━ 　　　　│ ┌───┴───┐ │　　ルータ　　│ └───┬───┘ 　　　　： 　　　　：ISDN回線や専用線 　　　　： ┌───┴───┐ │ ルータ │ └───┬───┘ 　　　　│ 192.168.0.1 192.168.0.0/24 ━━━━┷━━━━┯━━━━━━━━━━━━━━━━━━━━━━ 　　 　│　192.168.0.2〜192.168.0.254 ＜端末アドレス＞ 　　　　　┌───┴───┐ 　　　　　│ コンピュータ │ 　　　　　└───────┘

• アクセスを制限するフィルタ設定例

  # フィルタ定義例 (LAN側ネットワークが192.168.0.0/24の場合) ip filter 10 reject 192.168.0.0/24 * * * * ip filter 11 pass * 192.168.0.0/24 icmp * * ip filter 12 pass * 192.168.0.0/24 established * * ip filter 13 pass * 192.168.0.0/24 tcp * ident ip filter 14 pass * 192.168.0.0/24 tcp ftpdata * ip filter 15 pass * 192.168.0.0/24 udp domain * ip filter source-route on ip filter directed-broadcast on

  # フィルタ適用例 (接続先のPP番号が1の場合) pp select 1 ip pp secure filter in 10 11 12 13 14 15

[ RTシリーズの時刻設定機能 ]

• ntpdateコマンド (NTP:Network Time Protocol, SNMP:Simple Network Time Protocol)

  NTPサーバに接続して時刻を合せます。
  NTPサーバの待ち受けポートは、udp/123です。
  ntpdateコマンドが実行されると、NTPサーバのudp/123と通信して ルータの時刻を合せます。

  [ リリースノートから抜粋 ] ・NTP による時計の設定 [入力形式] ntpdate SERVER [パラメータ] SERVER ... NTP サーバの IP アドレスもしくはホスト名 [説明] NTP を利用してルータの時計を設定する。 [ノート] インターネットに接続している時には、rdate よりも精密な時計合わせが 可能になる。NTP サーバとしてはできるだけ近くのものを指定した方が良 い。利用可能な NTP サーバについてはプロバイダに問い合わせること。 ルータ自身は NTP サーバとはなれない。

  [ コンソールのヘルプ文 ] # ntpdate ? 入力形式： ntpdate サーバ サーバ = IPアドレス or ホスト名 　 　説明： NTPサーバより日付を設定します #

  [ 関連RFC ]

  • STD12(NTP 2,PostScript)
  • RFC958(NTP)
  • RFC1059(NTP 1)
  • RFC1119(NTP 2,PostScript)
  • RFC1305(NTP 3)
  • RFC1361(SNTP)
  • RFC1769(SNTP)
  • RFC2030(SNTP 3)

• rdateコマンド (Time Protocol)

  timeサーバに接続して時刻を合せます。
  timeサーバの待ち受けポートは、tcp/37、または、udp/37です。
  rdateコマンドが実行されると、timeサーバのtcp/37と通信して ルータの時刻を合せます。
  大抵のUNIXがtimeサーバとして利用できます。

  [ リリースノートから抜粋 ] ・リモートホストによる時計の設定 [入力形式] rdate HOST [パラメータ] HOST ... リモートホストの IP アドレスもしくはホスト名 [説明] リモートホストの時計にルータの時計を合わせる。TCP の 37 番ポートを 利用している。 [ノート] リモートホストとしては、ほとんどの UNIX マシンが利用可能。Win95/NT はどうやら駄目らしい。 ルータ自身もリモートホストとして利用できる。

  [ コンソールのヘルプ文 ] # rdate ? 入力形式： rdate ホスト ホスト = IPアドレス or ホスト名 　 　説明： リモートホストより日付を設定します #

  [ 関連RFC ]

  • STD26(Time Protocol)
  • RFC868(Time Protocol)

• dateコマンド

  コンソールから現在の日付を設定します。

  [ コマンドリファレンスから抜粋 ] ・現在の日付けの設定 [入力形式] date DATE [パラメータ] DATE ... yyyy-mm-dd または yyyy/mm/dd [説明] 現在の日付けを設定する。

  [ コンソールのヘルプ文 ] # date? ? date # date ? 入力形式： date 年月日 年月日 = (yyyy-mm-dd) 　 　説明： 年月日を設定します #

• timeコマンド

  コンソールから現在の時刻を設定します。

  [ コマンドリファレンスから抜粋 ] ・現在の時刻の設定 [入力形式] time TIME [パラメータ] TIME ... hh:mm:ss [説明] 現在の時刻を設定する。

  [ コンソールのヘルプ文 ] # time? ? time timezone # time ? 入力形式： time 時分秒 時分秒 = (hh:mm:ss) 　 　説明： 現在時刻を設定します #

• timezoneコマンド

  コンソールからタイムゾーンを設定します。

  [ コマンドリファレンスから抜粋 ] ・タイムゾーンの設定 [入力形式] timezone TIMEZONE [パラメータ] TIMEZONE ・-12:00〜+11:59 ... その地域と世界標準時との差 ・jst ... 日本標準時(+09:00) ・utc ... 世界標準時(+00:00) [説明] タイムゾーンを設定する。 [デフォルト値] jst

  [ コンソールのヘルプ文 ] # time? ? time timezone # timezone ? 入力形式： timezone タイムゾーン タイムゾーン = (-12:00)-(+11:59), 'jst' or 'utc' 　 　説明： タイムゾーンを設定します デフォルト値： jst #

[ 関連情報 ]

• 基本的なネットワーク・セキュリティ・フィルタ
  1. HTTPサーバ(WWWサーバ)を公開するフィルタを教えてください
  2. TELNETサーバを公開するフィルタを教えてください
  3. NTPサーバを公開するフィルタ/NTPサーバに接続するフィルタを教えてください
  4. FTPサーバを公開するフィルタ/FTPサーバに接続するフィルタを教えてください
  5. SSHを通すフィルタを教えてください
  6. IPsecを通すフィルタを教えてください
  7. PPTPトンネルを通すフィルタを教えてください
• どんなケースで静的IPマスカレードが必要になりますか？
  • NTPではどんなとき静的IPマスカレードを設定すべきですか？
• RTA52i用設定例集
  • 端末型ダイヤルアップによるプロバイダ接続
    • ルータの時刻を定期的に問い合せる
• PDF書庫
  • ネットボランチのセキュリティ・フィルタ
  • ファイアウォール機能の説明資料
• RTA54iのwww設定画面のスクリーン・ショット
  • RTA54i Rev.4.03.10のプロバイダ接続設定のファイアウォール機能の「セキュリティレベル5」の詳細な説明
  • RTA54i Rev.4.03.10のプロバイダ接続設定のファイアウォール機能の「セキュリティレベル7」の詳細な説明

[ FAQ for RT-Series ]
[ FAQ for IP Packet Filter / files / TCP/IP ]