(OCN/Filter.1) OCN接続+パケットフィルタリングの設定例

[ 条件、特徴など ]

• 基本構成(OCNエコノミー 2.端末数少、DNS/WWWサーバなどは用意する)にIPフィルタを設定
  • サーバ(172.16.184.34)を公開 (パケットが届く)
  • 端末類(172.16.184.35〜172.16.184.46)は非公開、外へは出られる。
  • クィックスタートガイドのIPフィルタリング設定例を参照。
• ヤマハISDNリモートルータ(RTシリーズ)
• OCNエコノミー(128Kbps専用線)
  
• 端末の数が、割り当てられたグローバルIPアドレスより少ない。
• DNS/WWW/SMTP/POPサーバなどは、自前で用意する。
• 機器にグローバルアドレスを割り当てる
• NATやIPマスカレードを使わない(必要ない)
• DHCPサーバ機能が使える。
  

[ OCNエコノミー設定条件 ]

項目	内容
アクセス回線	128Kbps専用線 PPP unnumberd
グローバルアドレス	172.16.184.32〜172.16.184.47 (16個) ユーザ分(14個) ネットワークアドレス(1個) ブロードキャストアドレス(1個)
ネットマスク	255.255.255.240 (28ビット)
ルータアドレス	172.16.184.33

[ RTの要件 ]

• OCNエコノミーと接続する。
  128kbits/secの専用線でプロバイダとネットワーク型接続をする。
• IPパケットフィルタリング機能

[ ネットワーク設計 ]

• ネットワーク構成図

       OCNエコノミー
            #
            # 128Kbps専用線
            #
      +------------+
      | RTシリーズ |
      +-----+------+
            | 172.16.184.33
            |                                        172.16.184.32/28
      ------+----------+--------------------------+------------------
                       |                          |
                       |172.16.184.34             |172.16.184.35〜
             +---------+---------+      +---------+---------+
             |      サーバ       |      | コンピュータ/端末 |…
             | DNS/WWW/SMTP/POP  |      +-------------------+
             +-------------------+
  

• ネットワークの諸元

  種類	IPアドレスなど
  ネットワーク	172.16.184.32 or 172.16.184.32/28
  ネットマスク	255.255.255.240 (28ビット)
  ブロードキャスト	172.16.184.47
  ルータ	172.16.184.33 ↓ default
  DNS/WWW/SMTP/POPサーバ	172.16.184.34
  空き	172.16.184.35〜172.16.184.46

• IPアドレス(internet address)の割り当て設計

  IPアドレス	割り当て	DHCPスコープ番号
  172.16.184.32	network address	−
  172.16.184.33	ルータ	−
  172.16.184.34	サーバ DNS/WWW/SMTP/POP/など	−
  172.16.184.35 〜 172.16.184.46	ホスト	(1)
  172.16.184.47	(directed) broadcast address	−
  255.255.255.240 (28ビット)	subnet mask	−
  255.255.255.255	limited broadcast address	−

• TCP/IPルーティング情報 (show ip route コマンドで確認)

  宛先/ネットマスク	次のホップ	生成コマンド
  default	PP[LEASED]、または、PP[01]	ip pp route add net
  172.16.184.32/28	LAN1(172.16.184.33)	ip lan address

• NATとIPマスカレードの設計 (Rev.3系以前)

  NATやIPマスカレードは使わない。

• NATディスクリプタの設計 (Rev.4系以降)

  NATやIPマスカレードは使わない。

• 各端末の諸元

  種類	IPアドレスなど
  ホスト	172.16.184.35〜172.16.184.46
  ネットマスク	255.255.255.240 (28ビット)
  ブロードキャスト	172.16.184.47
  ゲートウェイ(ルータ)	172.16.184.33
  DNSサーバ	172.16.184.34
  SMTPサーバ	172.16.184.34
  POPサーバ	172.16.184.34
  ドメイン名	用意したもの

[ 設定例 ]

• 1ポート専用タイプ

  #
  # RTに関する設定
  #
  pp line l128
  ip lan address 172.16.184.33/28
  ip lan routing protocol none
  #
  # 接続相手(OCNエコノミー,専用線)に関する設定
  #
  pp select leased
  ip pp route add net default 1
  pp enable leased
  #
  # DHCPサーバの設定 (オプション)
  #
  dhcp service server
  dhcp scope 1 172.16.184.35-172.16.184.46/28
  #
  # RTに関する設定
  #
  dns server "172.16.184.34"
  dns domain "ドメイン名"
  #
  # 保存と再起動
  #
  save
  restart
  

• 1ポート専用タイプにフィルタ適用

  #
  # RTに関する設定
  #
  pp line l128
  ip lan address 172.16.184.33/28
  #
  # IPフィルタの定義
  #
  ip filter 10 reject 172.16.184.32/28 * * * *
  ip filter 11 pass * 172.16.184.32/28 icmp * *
  ip filter 12 pass * 172.16.184.32/28 established * *
  ip filter 13 pass * 172.16.184.32/28 tcp,udp * domain
  ip filter 14 pass * 172.16.184.32/28 tcp ftpdata *
  ip filter 15 pass * 172.16.184.32/28 udp domain *
  ip filter 16 pass * 172.16.184.34 tcp,udp * smtp,ident,gopher,finger,www,nntp,ntp,33434-33500
  ip filter directed-broadcast on
  ip filter source-route on
  #
  # 接続相手(OCNエコノミー,専用線)に関する設定
  #
  pp select leased
  ip pp route add net default 1
  ip pp secure filter in 10 11 12 13 14 15 16
  pp enable leased
  #
  # DHCPサーバの設定 (オプション)
  #
  dhcp service server
  dhcp scope 1 172.16.184.35-172.16.184.46/28
  #
  # RTに関する設定
  #
  dns server "172.16.184.34"
  dns domain "ドメイン名"
  #
  # 保存と再起動
  #
  save
  restart
  

• 複数ポート対応タイプ

  #
  # RTに関する設定
  #
  bri line 1 l128
  ip lan address 172.16.184.33/28
  ip lan routing protocol none
  #
  # 接続相手(OCNエコノミー,専用線)に関する設定
  #
  pp select 1
  pp bind bri 1
  ip pp route add net default 1
  pp enable 1
  #
  # DHCPサーバの設定 (オプション)
  #
  dhcp service server
  dhcp scope 1 172.16.184.35-172.16.184.46/28
  #
  # RTに関する設定
  #
  dns server "172.16.184.34"
  dns domain "ドメイン名"
  #
  # 保存と再起動
  #
  save
  restart
  

• 複数ポート対応タイプにフィルタ適用

  #
  # RTに関する設定
  #
  bri line 1 l128
  ip lan address 172.16.184.33/28
  ip lan routing protocol none
  #
  # IPフィルタの定義
  #
  ip filter 10 reject 172.16.184.32/28 * * * *
  ip filter 11 pass * 172.16.184.32/28 icmp * *
  ip filter 12 pass * 172.16.184.32/28 established * *
  ip filter 13 pass * 172.16.184.32/28 tcp,udp * domain
  ip filter 14 pass * 172.16.184.32/28 tcp ftpdata *
  ip filter 15 pass * 172.16.184.32/28 udp domain *
  ip filter 16 pass * 172.16.184.34 tcp,udp * smtp,ident,gopher,finger,www,nntp,ntp,33434-33500
  ip filter directed-broadcast on
  ip filter source-route on
  #
  # 接続相手(OCNエコノミー,専用線)に関する設定
  #
  pp select 1
  pp bind bri 1
  ip pp route add net default 1
  ip pp secure filter in 10 11 12 13 14 15 16
  pp enable 1
  #
  # DHCPサーバの設定 (オプション)
  #
  dhcp service server
  dhcp scope 1 172.16.184.35-172.16.184.46/28
  #
  # RTに関する設定
  #
  dns server "172.16.184.34"
  dns domain "ドメイン名"
  #
  # 保存と再起動
  #
  save
  restart
  

[ Ｑuestion ＆ Ａnswer ]

• フィルタの適用位置は、どこですか？ (Rev.3系以前)

  [ 図説している機能ブロック ]

  • IPルーティング
  • IPパケットフィルタ

                      :
               [BRI]  : ISDN回線 or 専用線
                      :
    +-----------------+-------------------+
    |                 |                   |
    |  +-----------------------------+    |
    |  |     PPPやISDN回線の処理     |    |
    |  +-----------------------------+    |
    |                 |                   |
    |  +-----------------------------+    |
    |  |         IPフィルタ          |    |
    |  | +----(↓)----+----(↑)---+  |    | ip filter ...
    |  | |            |           |  |    | 
    |  | |     in     |    out    |  |    | ip pp secure filter in/out ....
    |  | |            |           |  |    | 
    |  | +----(↓)----+----(↑)---+  |    | 
    |  +-----------------------------+    |
    |                 |                   |
    |              (PP#1)                 |
    |                 |                   |
    |  +-----------------------------+    |
    |  |       IPルーティング        |    |
    |  +-----------------------------+    |
    |                 |                   |
    |               (LAN)                 |
    |                 |                   |
    |  +-----------------------------+    |
    |  |         IPフィルタ          |    |
    |  | +----(↑)----+----(↓)---+  |    | ip filter ...
    |  | |            |           |  |    | 
    |  | |     in     |    out    |  |    | ip lan secure filter in/out ....
    |  | |            |           |  |    | 
    |  | +----(↑)----+----(↓)---+  |    | 
    |  +-----------------------------+    |
    |                 |                   |
    |  +-----------------------------+    |
    |  |     イーサネットの処理      |    |
    |  +-----------------------------+    |
    |                 |                   |
    +-----------------+-------------------+
                      |
               [LAN]  |
                      |
    ------------------+--------------------
  

※「戻る/進む」はブラウザの履歴が使用されます [ RTpro / ヤマハ / 技術資料 / 設定例集 / RT's FAQ / マニュアル ]