RTシリーズのIPパケット・フィルタに関するFAQ
NTPサーバを公開するフィルタ/NTPサーバに接続するフィルタ設定例
新規作成日 | 2000/Jun/28 |
最終変更日 | 2022/Dec/28 |
文書サイズ | 20KB |
NTPサーバを公開するフィルタ/NTPサーバに接続するフィルタを教えてください
[ NTP通信のフィルタ ]
インターネットを介して基本となるフィルタ設定の 適用されたRT(A)とRT(B)があるネットワーク環境で、NTPサーバと NTPクライアントが通信するために必要な、フィルタの 設定を紹介する。
(TCP/IPネットワークまたはインターネット) ====================================================================== | | +----[WAN]----+RT(A) RT(B)+----[WAN]----+ | +--+--+ | | +--+--+ | | |↓|↑| |PP側フィルタ PP側フィルタ| |↓|↑| | | +--+--+ | | +--+--+ | | | | | | | | (R) | | (R) | | | | | | | | +--+--+ | | +--+--+ | | |↓|↑| |LAN側フィルタ LAN側フィルタ| |↓|↑| | | +--+--+ | | +--+--+ | +----[LAN]----+ 172.16.184.33 192.168.0.1 +----[LAN]----+ | | =======+======= 172.16.184.32/28 192.168.0.0/24 =======+======= | | +---------+---------+ 172.16.184.34 192.168.0.2 +---------+---------+ | NTPサーバ | | NTPクライアント | | | | (桜時計とか) | | | <通信形式:UDP> | | | [123]| ←──────────── |[*] | | | ────────────→ | (123,1024〜65535)| +-------------------+ +-------------------+ |
基本となるフィルタ設定では、 NTPサーバへの接続は、拒否されますので、 172.16.184.34のNTPサーバを公開するフィルタを 追加設定する必要があります。
# フィルタ定義例 (NTPサーバが172.16.184.34の場合)
ip filter 5 pass * 172.16.184.34 udp * ntp |
# フィルタ適用例 (接続先のPP番号が1の場合)
pp select 1 ip pp secure filter in 5 10 11 12 13 14 15 |
ファイアウォール機能を搭載したネットボランチでは、
プロバイダ接続設定で「セキュリティ・レベル」という機能をもっており、
レベル変更をすることで高いセキュリティを保ったまま、
NTPの通信を「かんたん」に通すことができます。
セキュリティ・レベルを6または7に設定してください。
ただし、CATVインターネットなどの環境でプロバイダから付与される
IPアドレスなどがプライベートアドレスである場合には、
セキュリティ・レベルを6にしてください。
セキュリティ・レベル | 1 | 2 | 3 | 4 | 5 | 6 | 7 |
予期しない発呼を防ぐフィルタ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
セキュリティホールになり易いポートを塞ぐフィルタ ポート番号:135,137,138,139,445(NetBIOSなど) |
○ | ○ | ○ | ○ | ○ | ○ | |
プライベートアドレスでの通信を防ぐフィルタ (ingress/egress filtering風) |
○ | ○ | ○ | ||||
静的セキュリティ・フィルタ | ◎ | ◎ | |||||
動的セキュリティ・フィルタ | ☆ | ☆ |
(参考)
NTPは、UDPを用いているので、動的フィルタでUDPの定義を追加します。
NTPは、UDPを用いているので、基本となるフィルタ設定の 12番(established)では、 通信を通過させることができません。
NTPクライアントを利用可能とするフィルタは、セキュリティを
厳密に考慮するならば、利用形態を制限することが望まれます。
利用形態を制限した分だけ、安全性が高まる可能性があります。
フィルタによるいくつかの利用形態の制限方法を紹介します。
# お薦め「セキュリティを保ちつつ、どのホストからも時刻合せが可能」 # フィルタ定義例 (NTPサーバの172.16.184.34を特定する場合) ip filter 5 pass 172.16.184.34 192.168.0.1-192.168.0.254 udp ntp ntp,1024-65535 |
# フィルタ定義例 (NTPサーバを172.16.184.34に特定、ポート番号を49152-65535に制限)
ip filter 5 pass 172.16.184.34 192.168.0.1-192.168.0.254 udp ntp ntp,49152-65535 |
# フィルタ定義例 (RTシリーズのNTPクライアントが192.168.0.1の場合)
ip filter 5 pass * 192.168.0.1 udp ntp ntp |
# フィルタ定義例 (NTPクライアントが192.168.0.2の場合)
ip filter 5 pass * 192.168.0.2 udp ntp 1024-65535 |
# フィルタ定義例 (NTPクライアントの192.168.0.2のポート番号を49152-64095に制限)
ip filter 5 pass * 192.168.0.2 udp ntp 49152-65535 |
# フィルタ定義例 (複数のNTPクライアントを許す場合)
ip filter 5 pass * 192.168.0.1,192.168.0.2 udp ntp ntp,1024-65535 |
# フィルタ定義例 (複数のNTPクライアントを許可、ポート番号を49152-64095に制限)
ip filter 5 pass * 192.168.0.1,192.168.0.2 udp ntp ntp,49152-65535 |
# お薦め「特定のホストから時刻合せが可能」 # フィルタ定義例 (さらにNTPサーバの172.16.184.34を特定する場合) ip filter 5 pass 172.16.184.34 192.168.0.1,192.168.0.2 udp ntp ntp,1024-65535 |
# フィルタ定義例 (さらにポート番号を49152-64095に制限)
ip filter 5 pass 172.16.184.34 192.168.0.1,192.168.0.2 udp ntp ntp,49152-65535 |
# フィルタ適用例 (接続先のPP番号が1の場合)
pp select 1 ip pp secure filter in 5 10 11 12 13 14 15 |
[ 設定の注意事項 ]
説明のためにIPアドレス(TCP/IPネットワーク)として、 192.168.0.0/24を用いております。 内側のネットワークがグローバルアドレスでも、プライベートアドレスでも、 アドレスを調整するだけで、ほぼ同等の設定となります。
実際に適用する場合には、実際のネットワーク状況に合せて調整してください。
ポート番号は、一般的な利用環境で利用されているものを
御紹介しております。
サーバやクライアントで変更可能であったり、
アドレス変換機能など介することでポート番号が変換されることも
あります。
ご利用環境を十分調査してから最終的なフィルタ設定を行なってください。
RTシリーズのIPパケットフィルタは、NATの内側で適用されている為、 NAT変換の有無をほとんど気にすることなく、設定(適用)することができます。
しかし、実際の通信では、NATやIPマスカレードのアドレス変換機能を
通すための追加設定が必要である場合があります。
例えば、RTシリーズでは、静的NATや静的IPマスカレードといった設定です。
[ 基本となるフィルタ ]
インターネット DNSサーバ メールサーバ ↑ │ │ │ <プロバイダ> ━━━━┯━┷━━━━━━━┷━━━━━━━┷━━━━━━━━━ │ ┌───┴───┐ │ ルータ │ └───┬───┘ : :ISDN回線や専用線 : ┌───┴───┐ │ ルータ │ └───┬───┘ │ 192.168.0.1 192.168.0.0/24 ━━━━┷━━━━┯━━━━━━━━━━━━━━━━━━━━━━ │ 192.168.0.2〜192.168.0.254 <端末アドレス> ┌───┴───┐ │ コンピュータ │ └───────┘ |
# フィルタ定義例 (LAN側ネットワークが192.168.0.0/24の場合)
ip filter 10 reject 192.168.0.0/24 * * * * ip filter 11 pass * 192.168.0.0/24 icmp * * ip filter 12 pass * 192.168.0.0/24 established * * ip filter 13 pass * 192.168.0.0/24 tcp * ident ip filter 14 pass * 192.168.0.0/24 tcp ftpdata * ip filter 15 pass * 192.168.0.0/24 udp domain * ip filter source-route on ip filter directed-broadcast on |
# フィルタ適用例 (接続先のPP番号が1の場合)
pp select 1 ip pp secure filter in 10 11 12 13 14 15 |
[ RTシリーズの時刻設定機能 ]
NTPサーバに接続して時刻を合せます。
NTPサーバの待ち受けポートは、udp/123です。
ntpdateコマンドが実行されると、NTPサーバのudp/123と通信して
ルータの時刻を合せます。
[ リリースノートから抜粋 ]
・NTP による時計の設定 [入力形式] ntpdate SERVER [パラメータ] SERVER ... NTP サーバの IP アドレスもしくはホスト名 [説明] NTP を利用してルータの時計を設定する。 [ノート] インターネットに接続している時には、rdate よりも精密な時計合わせが 可能になる。NTP サーバとしてはできるだけ近くのものを指定した方が良 い。利用可能な NTP サーバについてはプロバイダに問い合わせること。 ルータ自身は NTP サーバとはなれない。 |
[ コンソールのヘルプ文 ]
# ntpdate ? 入力形式: ntpdate サーバ サーバ = IPアドレス or ホスト名 説明: NTPサーバより日付を設定します # |
[ 関連RFC ]
timeサーバに接続して時刻を合せます。
timeサーバの待ち受けポートは、tcp/37、または、udp/37です。
rdateコマンドが実行されると、timeサーバのtcp/37と通信して
ルータの時刻を合せます。
大抵のUNIXがtimeサーバとして利用できます。
[ リリースノートから抜粋 ]
・リモートホストによる時計の設定 [入力形式] rdate HOST [パラメータ] HOST ... リモートホストの IP アドレスもしくはホスト名 [説明] リモートホストの時計にルータの時計を合わせる。TCP の 37 番ポートを 利用している。 [ノート] リモートホストとしては、ほとんどの UNIX マシンが利用可能。Win95/NT はどうやら駄目らしい。 ルータ自身もリモートホストとして利用できる。 |
[ コンソールのヘルプ文 ]
# rdate ? 入力形式: rdate ホスト ホスト = IPアドレス or ホスト名 説明: リモートホストより日付を設定します # |
[ 関連RFC ]
コンソールから現在の日付を設定します。
[ コマンドリファレンスから抜粋 ]
・現在の日付けの設定 [入力形式] date DATE [パラメータ] DATE ... yyyy-mm-dd または yyyy/mm/dd [説明] 現在の日付けを設定する。 |
[ コンソールのヘルプ文 ]
# date? ? date # date ? 入力形式: date 年月日 年月日 = (yyyy-mm-dd) 説明: 年月日を設定します # |
コンソールから現在の時刻を設定します。
[ コマンドリファレンスから抜粋 ]
・現在の時刻の設定 [入力形式] time TIME [パラメータ] TIME ... hh:mm:ss [説明] 現在の時刻を設定する。 |
[ コンソールのヘルプ文 ]
# time? ? time timezone # time ? 入力形式: time 時分秒 時分秒 = (hh:mm:ss) 説明: 現在時刻を設定します # |
コンソールからタイムゾーンを設定します。
[ コマンドリファレンスから抜粋 ]
・タイムゾーンの設定 [入力形式] timezone TIMEZONE [パラメータ] TIMEZONE ・-12:00〜+11:59 ... その地域と世界標準時との差 ・jst ... 日本標準時(+09:00) ・utc ... 世界標準時(+00:00) [説明] タイムゾーンを設定する。 [デフォルト値] jst |
[ コンソールのヘルプ文 ]
# time? ? time timezone # timezone ? 入力形式: timezone タイムゾーン タイムゾーン = (-12:00)-(+11:59), 'jst' or 'utc' 説明: タイムゾーンを設定します デフォルト値: jst # |
[ 関連情報 ]
[ FAQ for RT-Series ]
[ FAQ for IP Packet Filter / files / TCP/IP ]