YAMAHA RTシリーズ の接続事例集 / OCN

(OCN Filter) OCN接続に使用している RTシリーズ でフィルタを掛ける事例

1. 外部からのアクセスを制限する#1
   
2. 外部からのアクセスを制限する#2
   
3. 内部からのアクセスを制限する
   

• Question and Answer(パケットフィルタリング)
  

(OCN/Filter.1) 外部からのアクセスを制限する#1

[ 条件、特徴など ]

• 基本構成(OCNエコノミー 2.端末数少、DNS/WWWサーバなどは用意する)にIPフィルタを設定
  • サーバ(172.16.184.34)を公開 (パケットが届く)
  • 端末類(172.16.184.35〜172.16.184.46)は非公開、外へは出られる。
  • クィックスタートガイドのIPフィルタリング設定例を参照。
• ヤマハISDNリモートルータ(RTシリーズ)
• OCNエコノミー(128Kbps専用線)
  
• 端末の数が、割り当てられたグローバルIPアドレスより少ない。
• DNS/WWW/SMTP/POPサーバなどは、自前で用意する。
• 機器にグローバルアドレスを割り当てる
• NATやIPマスカレードを使わない(必要ない)
• DHCPサーバ機能が使える。
  

     OCNエコノミー
          :
          : 128Kbps専用線
          :
    +------------+
    | RTシリーズ |
    +-----+------+
          | 172.16.184.33
          |                                        172.16.184.32/28
    ------+----------+--------------------------+------------------
                     |                          |
                     |172.16.184.34             |172.16.184.35〜
           +---------+---------+      +---------+---------+
           |      サーバ       |      | コンピュータ/端末 |…
           | DNS/WWW/SMTP/POP  |      +-------------------+
           +-------------------+

[ 詳細ページ (2018/Nov/06, 15KB) ]

(OCN/Filter.2) 外部からのアクセスを制限する#2

[ 条件、特徴など ]

• 基本構成(OCNエコノミー 10.端末数多、DNS/WWWサーバ、ローカルルータは用意する)にIPフィルタを設定
  • サーバ(172.16.184.34)を公開 (パケットが届く)
  • 端末類(172.16.184.35〜172.16.184.46)は非公開、外へは出られる。
  • 端末類(192.168.0.0/24)は非公開、外へは出られる。
  • クィックスタートガイドのIPフィルタリング設定例を参照。
• ヤマハISDNリモートルータ(RTシリーズ)
• OCNエコノミー(128Kbps専用線)
  
• 端末の数が、割り当てられたグローバルIPアドレスより多い。
• ローカルルータを用いて、global/privateを分離
• globalなネットワークをバリアセグメント(barrier segment)とする(言う)
• DNS/WWW/SMTP/POPサーバなどは、自前で用意する。
• グローバルアドレスを割り当てる機器：サーバやルータなどの公開するもの
• プライベートアドレスを割り当てる機器：端末など
• プライベート→グローバル対応に、NAT+IPマスカレードを使う
• 端末などの為にDHCPサーバ機能を使う為には？
  
  1. 192.168.0.0/24上にDHCPサーバを設置
     
  2. ローカルルータがDHCPリレー機能を持っていれば、RTがDHCPサーバになれる。
     
  3. ローカルルータのDHCPサーバ機能を利用する。

     OCNエコノミー
          :
          : 128Kbps専用線
          :
    +------------+
    | RTシリーズ | (NATおよびIPマスカレード)
    +-----+------+
          | 172.16.184.33
          |                                        172.16.184.32/28
    ------+----------+--------------------------+------------------
                     |                          |
                     |172.16.184.45             |172.16.184.34
           +---------+---------+      +---------+---------+
           | ローカル・ルータ  |      |   コンピュータ    |
           |                   |      | DNS/WWW/SMTP/POP  |
           +---------+---------+      +-------------------+
                     |192.168.0.1
                     |                               192.168.0.0/24
    ----------+------+---------------------------------------------
              |
              |192.168.0.2〜192.168.0.254
    +---------+---------+
    | コンピュータ/端末 |…
    +-------------------+

[ 詳細ページ (2018/Nov/06, 9.6KB) ]

(OCN/Filter.3) 内部からのアクセスを制限する

[ 条件、特徴など ]

• 基本構成(OCNエコノミー 10.端末数多、DNS/WWWサーバ、ローカルルータは用意する)にIPフィルタを設定
  • サーバ(172.16.184.34)を公開 (パケットが届く)
  • 端末類(172.16.184.35〜172.16.184.46)は公開/非公開、外へは出られる。
  • 端末類(192.168.0.0/24)は非公開、外へ出さない。
  • プライベートアドレス機器のためのNAT＆IPマスカレードは使用しない。
• ヤマハISDNリモートルータ(RTシリーズ)
• OCNエコノミー(128Kbps専用線)
  
• 端末の数が、割り当てられたグローバルIPアドレスより多い。
• ローカルルータを用いて、global/privateを分離
• globalなネットワークをバリアセグメント(barrier segment)とする(言う)
• DNS/WWW/SMTP/POPサーバなどは、自前で用意する。
• グローバルアドレスを割り当てる機器：サーバやルータなどの公開するもの
• プライベートアドレスを割り当てる機器：端末など
• プライベート機器は外部アクセスさせない。できない。
• 端末などの為にDHCPサーバ機能を使う為には？
  
  1. 192.168.0.0/24上にDHCPサーバを設置
     
  2. ローカルルータがDHCPリレー機能を持っていれば、RTがDHCPサーバになれる。
     
  3. ローカルルータのDHCPサーバ機能を利用する。

     OCNエコノミー
          #
          # 128Kbps専用線
          #
    +------------+
    |   RT(A)    |
    +-----+------+
          | 172.16.184.33
          |                                        172.16.184.32/28
    ------+------------------------------------+-------------------
          |                                    |
          |172.16.184.45                       |172.16.184.34
 +--------+--------+                 +---------+---------+
 | ローカル ルータ |                 | DNS/WWW/SMTP/POP  |
 |    RT140e(B)    |                 |       サーバ      |
 +--------+--------+                 +-------------------+
          |192.168.0.1
          |                               192.168.0.0/24
    ------+----------+---------------------------------------------
                     |
                     |192.168.0.2〜192.168.0.254
           +---------+---------+
           | コンピュータ/端末 |…
           +-------------------+

[ 詳細ページ (2018/Nov/06, 15KB) ]

• RT(A)の要件
• RT140e(B)の要件

(OCN/Filter.Q&A) Question and Answer (パケットフィルタリング)

• established ってどうゆう機能なのでしょうか?

  TCPの一種であり、TCPセッションの一番最初以外のパケットに マッチします。
  一番最初のパケットにはマッチしないので、

  ip filter 1 pass * * established
  pp select N
  ip pp secure filter in 1
  

  としておくと、外部からTCPセッションを始めることを禁止しつつ、内部から のTCPセッションはすべて通すということが実現できます。

  詳しくは、

  • ip filterコマンドに出てくるestablishedってなんですか?

• IPアドレス・スプーフィング攻撃から守るフィルタ設定
  • IPアドレス・スプーフィング攻撃(ip spoofing)に対処するフィルタを教えて下さい。

• land attack(攻撃)から守るフィルタ設定
  • land攻撃に対処するフィルタを教えて下さい。

• smurf attack(攻撃)から守るフィルタ設定
  • ip filter directed-broadcastコマンドは何のためにあるのですか？
  • smurf攻撃に対処するフィルタを教えて下さい。

• 各機能がどこで処理されるのかよくわかんない。
  • IPパケット・フィルタリング機能がどこで働くかわからない。

• バリアセグメント上に メールサーバを置き、内部のセグメントに PC ユーザがいます。クイスタ 5.11 風のフィルタをかけています。 ただし、バリアセグメントには 113 は届かないようにしています。 すると、PC ユーザはメールは受け取れるのですが、送ることがで きません。何が考えられるでしょう。

  おそらく、メールサーバに 113(ident, auth) が届かないからでしょう。

  • 113(ident, auth) は、IP アドレスとポート番号について、相手が本当に 使っているかどうか問い合わせるプロトコルです。
  • あるメールサーバ（と言うより、sendmail と呼んだほうがいいかも しれない）は、smtp でメールが送られようとした時、相手を確認す る為に、この 113(ident, auth) を使います。
  • PC 上の メールソフトについて、一旦メールサーバを経由して、メール を送る場合と、直接 相手と smtp を張ってメールサーバを通らない場合 があります。
  • そこで、外向けのメールはすべて特定のメー ルサーバに集めるよう設定すべきです。

※「戻る/進む」はブラウザの履歴が使用されます [ RTpro / ヤマハ / 技術資料 / 設定例集 / RT's FAQ / マニュアル ]