(2) NATディスクリプタの設定例

[ 環境/条件 ]

項目	内容
接続形態	2つのLANをルーティング
ルータ	ローカルルータ(RT140e)
ルーティング情報	使わない/static
NAT変換タイプ	IPマスカレード
外側アドレス	1個か、2個
内側アドレス	プライベートアドレス
DHCP	LAN1側で使用する

[ NATディスクリプタを適用していない時の構成図/ネットワーク図 ]

     インターネット
           |
  +--------+--------+
  |  ゲートウェイ   |
  +--------+--------+
           |133.176.200.1
           |                                 133.176.200.0/24
  ---------+-------+---------------------------+-------------
                   |                           |
                   |133.176.200.68             |133.176.200.47
          +--------+--------+                [ PC ]
          |    [ LAN 2 ]    |
          |        |        |
          |  IPルーティング |
          |        |        |
          |    [ LAN 1 ]    |RT140e
          +--------+--------+
                   |192.168.0.1
                   |                           192.168.0.0/24
  -----------------+---------------------------+-------------
                                               |
                                               |192.168.0.XXX
                                             [ PC ]

[ RT140eをローカルルータとして使う設定例(show config) ]

• 動的経路制御のために経路情報(ルーティング情報)をRIPでLANに流す。(通常)
  • 両側にRIPパケットを流します。
    
  • LAN2側のネットワーク情報をLAN1へ流す。
    
  • LAN1側のネットワーク情報をLAN2へ流す。
    

  ip lan1 address 192.168.0.1/24
  ip lan2 address 133.176.200.68/24
  dhcp service server
  dhcp scope 1 192.168.0.2-192.168.0.254/24
  

• 経路情報をLAN2側(基幹側)に流さないようにする必要がある場合。
  • LAN2側のネットワーク情報をLAN1へ流す。
    
  • LAN1側のネットワーク情報をLAN2へ流さない。
    

  ip lan1 address 192.168.0.1/24
  ip lan2 address 133.176.200.68/24
  ip lan2 routing protocol none
  dhcp service server
  dhcp scope 1 192.168.0.2-192.168.0.254/24
  

• 経路情報をLAN1,LAN2(両側)に流さないようにする必要がある場合。
  • 両側のLANにRIPパケットを流さないで、static設定します。
    
  • LAN2側のネットワーク情報をLAN1へ流さない。
    
  • LAN1側のネットワーク情報をLAN2へ流さない。
    

  ip lan1 address 192.168.0.1/24
  ip lan1 routing protocol none
  ip lan2 address 133.176.200.68/24
  ip lan2 routing protocol none
  dhcp service server
  dhcp scope 1 192.168.0.2-192.168.0.254/24
  

• デフォルト・ゲートウェイが133.176.200.1である静的経路設定を追加する
  • 両側のLANにRIPパケットを流さないで、static設定します。
    
  • LAN2側のネットワーク情報をLAN1へ流さない。
    
  • LAN1側のネットワーク情報をLAN2へ流さない。
    
  • デフォルト・ゲートウェイとして133.176.200.1を設定する

  ip lan1 address 192.168.0.1/24
  ip lan1 routing protocol none<
  ip lan2 address 133.176.200.68/24
  ip lan2 routing protocol none
  ip lan2 route add net default 133.176.200.1 1
  dhcp service server
  dhcp scope 1 192.168.0.2-192.168.0.254/24
  

[ NATディスクリプタを適用した構成図/ネットワーク図 ]

     インターネット
           |
  +--------+--------+
  |  ゲートウェイ   |
  +--------+--------+
           |133.176.200.1
           |                                 133.176.200.0/24
  ---------+-------+---------------------------+-------------
                   |                           |
                   |133.176.200.68             |133.176.200.47
          +--------+--------+                [ PC ]
          |    [ LAN 2 ]    |
          |        |        |
          |      [NAT]      |←NATやIPマスカレード
          |        |        |
          |  IPルーティング |
          |        |        |
          |    [ LAN 1 ]    |RT140e
          +--------+--------+
                   |192.168.0.1
                   |                           192.168.0.0/24
  -----------------+---------------------------+-------------
                                               |
                                               |192.168.0.XXX
                                             [ PC ]

[ NATディスクリプタの設定例 ]

• IPアドレスが1個 (LAN2とIPマスカレードを兼ねる)
• IPアドレスが1個 + 静的IPマスカレード(telnet,tftp)
• IPアドレスが2個 (LAN2用とIPマスカレード用を兼ねる + 静的NAT)
• IPアドレスが2個 (LAN2用とIPマスカレード用)
• IPアドレスが3個 (LAN2用とIPマスカレード用と静的NAT用)

[ NATディスクリプタ+IPフィルタの設定例 ]

• IPアドレスが1個 (LAN間IPマスカレード+静的IPマスカレード+IPフィルタ)

[ NATディスクリプタの設計と組み込んだ設定例(show config) ]

• IPアドレスが1個 (LAN2とIPマスカレードを兼ねる)
  • NATディスクリプタの設計内容

    NATディスクリプタ番号	1
    タイプ	masquerade
    外側アドレス	133.176.200.68 (LAN2のアドレス)
    内側アドレス	auto (all,すべて)
    静的NAT設定	なし
    静的IPマスカレード設定	なし
    適用インタフェース	LAN2

  • NATディスクリプタのイメージ図

        ＜外側＞    …LAN2インタフェース側
     +------------+
     |     ☆     | …外側アドレス
     |     ↑     |   nat descriptor address outer
     |     ｜     |
     |     ▲     | …1組のIPマスカレード変換
     |   ／  ＼   |
     | ↑↑↑↑↑ |
     | ○○○○○ | …内側アドレス
     +------------+   nat descriptor address inner
        ＜内側＞    …ルーティング側
    

  • show config (内側アドレスの指定をauto…default値で)

    ip lan1 address 192.168.0.1/24
    ip lan1 routing protocol none
    ip lan2 address 133.176.200.68/24
    ip lan2 routing protocol none
    ip lan2 nat descriptor 1
    nat descriptor type 1 masquerade
    nat descriptor address outer 1 133.176.200.68 (または、primary)
    dhcp service server
    dhcp scope 1 192.168.0.2-192.168.0.254/24
    

  • show config (内側アドレスの指定を詳細に記述する)

    ip lan1 address 192.168.0.1/24
    ip lan1 routing protocol none
    ip lan2 address 133.176.200.68/24
    ip lan2 routing protocol none
    ip lan2 nat descriptor 1
    nat descriptor type 1 masquerade
    nat descriptor address outer 1 133.176.200.68
    nat descriptor address inner 1 133.176.200.68 192.168.0.1-192.168.0.254
    dhcp service server
    dhcp scope 1 192.168.0.2-192.168.0.254/24
    

• IPアドレスが1個 (LAN2とIPマスカレードを兼ねる)
  + telnetとtftpでRTにアクセス可能な静的IPマスカレード設定
  • NATディスクリプタの設計内容

    NATディスクリプタ番号	1
    タイプ	masquerade
    外側アドレス	133.176.200.68 (LAN2のアドレス)
    内側アドレス	auto (all,すべて)
    静的NAT設定	なし
    静的IPマスカレード設定	133.176.200.68, tcp, telnet 133.176.200.68, udp, tftp
    適用インタフェース	LAN2

  • NATディスクリプタのイメージ図

        ＜外側＞    …LAN2インタフェース側
     +------------+
     |     ☆     | …外側アドレス
     |     ↑     |   nat descriptor address outer
     |     ｜     |
     |     ▲     | …1組のIPマスカレード変換
     |   ／  ＼   |
     | ↑↑↑↑↑ |
     | ○○○○○ | …内側アドレス
     +------------+   nat descriptor address inner
        ＜内側＞    …ルーティング側
    

  • show config

    ip lan1 address 192.168.0.1/24
    ip lan1 routing protocol none
    ip lan2 address 133.176.200.68/24
    ip lan2 routing protocol none
    ip lan2 nat descriptor 1
    nat descriptor type 1 masquerade
    nat descriptor address outer 1 133.176.200.68 (または、primary)
    nat descriptor masquerade static 1 1 133.176.200.68 tcp telnet
    nat descriptor masquerade static 1 2 133.176.200.68 udp tftp
    dhcp service server
    dhcp scope 1 192.168.0.2-192.168.0.254/24
    

• IPアドレスが2個 (LAN2用とIPマスカレード用を兼ねる + 静的NAT)
  • NATディスクリプタの設計内容

    NATディスクリプタ番号	1
    タイプ	masquerade
    外側アドレス	133.176.200.68 (LAN2のアドレス)
    内側アドレス	auto (all,すべて) または 133.176.200.68 192.168.0.1-192.168.0.254
    静的NAT設定	133.176.200.200=192.168.0.2
    静的IPマスカレード設定	なし
    適用インタフェース	LAN2

  • NATディスクリプタのイメージ図

          ＜外側＞      …LAN2インタフェース側
    +----+------------+
    | ★ |     ☆     | …外側アドレス
    | ↑ |     ↑     |
    | ｜ |     ｜     |
    | ■ |     ▲     | …1組の静的NATと1組のIPマスカレード
    | ｜ |   ／  ＼   |
    | ↑ | ↑↑↑↑↑ |
    | ● | ○○○○○ | …内側アドレス
    +----+------------+
          ＜内側＞      …ルーティング側
    

  • show config (内側アドレスの指定をauto…default値で)

    ip lan1 address 192.168.0.1/24
    ip lan1 routing protocol none
    ip lan2 address 133.176.200.68/24
    ip lan2 routing protocol none
    ip lan2 nat descriptor 1
    nat descriptor type 1 masquerade
    nat descriptor address outer 1 133.176.200.68 (または、primary)
    nat descriptor static 1 1 133.176.200.200=192.168.0.2
    dhcp service server
    dhcp scope 1 192.168.0.2-192.168.0.254/24
    

  • show config (内側アドレスの指定を詳細に記述する)

    ip lan1 address 192.168.0.1/24
    ip lan1 routing protocol none
    ip lan2 address 133.176.200.68/24
    ip lan2 routing protocol none
    ip lan2 nat descriptor 1
    nat descriptor type 1 masquerade
    nat descriptor address outer 1 133.176.200.68
    nat descriptor address inner 1 133.176.200.68 192.168.0.1-192.168.0.254
    nat descriptor static 1 1 133.176.200.200=192.168.0.2
    dhcp service server
    dhcp scope 1 192.168.0.2-192.168.0.254/24
    

• IPアドレスが2個 (LAN2用とIPマスカレード用)
  • NATディスクリプタの設計内容

    NATディスクリプタ番号	1
    タイプ	masquerade
    外側アドレス	133.176.200.200
    内側アドレス	192.168.0.1-192.168.0.254
    静的NAT設定	なし
    静的IPマスカレード設定	なし
    適用インタフェース	LAN2

  • NATディスクリプタのイメージ図

        ＜外側＞    …LAN2インタフェース側
     +------------+
     |     ☆     | …外側アドレス
     |     ↑     |   nat descriptor address outer
     |     ｜     |
     |     ▲     | …1組のIPマスカレード変換
     |   ／  ＼   |
     | ↑↑↑↑↑ |
     | ○○○○○ | …内側アドレス
     +------------+   nat descriptor address inner
        ＜内側＞    …ルーティング側
    

  • show config

    ip lan1 address 192.168.0.1/24
    ip lan1 routing protocol none
    ip lan2 address 133.176.200.68/24
    ip lan2 routing protocol none
    ip lan2 nat descriptor 1
    nat descriptor type 1 masquerade
    nat descriptor address outer 1 133.176.200.200
    nat descriptor address inner 1 192.168.0.1-192.168.0.254
    dhcp service server
    dhcp scope 1 192.168.0.2-192.168.0.254/24
    

• IPアドレスが3個 (LAN2用とIPマスカレード用と静的NAT用)
  • NATディスクリプタの設計内容

    NATディスクリプタ番号	1
    タイプ	masquerade
    外側アドレス	133.176.200.200
    内側アドレス	192.168.0.1-192.168.0.254
    静的NAT設定	133.176.200.201=192.168.0.2
    静的IPマスカレード設定	なし
    適用インタフェース	LAN2

  • NATディスクリプタのイメージ図

          ＜外側＞      …LAN2インタフェース側
    +----+------------+
    | ★ |     ☆     | …外側アドレス
    | ↑ |     ↑     |
    | ｜ |     ｜     |
    | ■ |     ▲     | …1組の静的NATと1組のIPマスカレード
    | ｜ |   ／  ＼   |
    | ↑ | ↑↑↑↑↑ |
    | ● | ○○○○○ | …内側アドレス
    +----+------------+
          ＜内側＞      …ルーティング側
    

  • show config

    ip lan1 address 192.168.0.1/24
    ip lan1 routing protocol none
    ip lan2 address 133.176.200.68/24
    ip lan2 routing protocol none
    ip lan2 nat descriptor 1
    nat descriptor type 1 masquerade
    nat descriptor address outer 1 133.176.200.200
    nat descriptor address inner 1 192.168.0.1-192.168.0.254
    nat descriptor static 1 1 133.176.200.201=192.168.0.2
    dhcp service server
    dhcp scope 1 192.168.0.2-192.168.0.254/24
    

[ IPアドレス1個の使い込み+静的IPマスカレード+フィルタ ]

• ベースとなる構成とconfig
  • NATディスクリプタの設計内容

    NATディスクリプタ番号	1
    タイプ	masquerade
    外側アドレス	133.176.200.68 (LAN2のアドレス)
    内側アドレス	auto (all,すべて)
    静的NAT設定	なし
    静的IPマスカレード設定	なし
    適用インタフェース	LAN2

  • NATディスクリプタのイメージ図

        ＜外側＞    …LAN2インタフェース側
     +------------+
     |     ☆     | …外側アドレス
     |     ↑     |   nat descriptor address outer
     |     ｜     |
     |     ▲     | …1組のIPマスカレード変換
     |   ／  ＼   |
     | ↑↑↑↑↑ |
     | ○○○○○ | …内側アドレス
     +------------+   nat descriptor address inner
        ＜内側＞    …ルーティング側
    

  • show config (内側アドレスの指定を詳細に記述する)

    ip lan1 address 192.168.0.1/24
    ip lan1 routing protocol none
    ip lan2 address 133.176.200.68/24
    ip lan2 routing protocol none
    ip lan2 nat descriptor 1
    nat descriptor type 1 masquerade
    nat descriptor address outer 1 133.176.200.68
    nat descriptor address inner 1 133.176.200.68 192.168.0.1-192.168.0.254
    dhcp service server
    dhcp scope 1 192.168.0.2-192.168.0.254/24
    

• 静的IPマスカレードの設定
  1. RT140eにLAN2側に流れているRIP(Version 1)が届くようにする。
     • 何故、必要か？

       ip lan routing protocol noneでRTがRIPを出力することはありませんが、 RIP情報は受信可能です。しかし、IPマスカレードの外側でRIPが流れて いても、RIPのテーブルがIPマスカレードテーブルに生成されていないと IPマスカレード機能でRIPパケットが破棄されます。よって、RTのルーティン グ機能にRIPが届きません。

       ネットワークがRIPで運用されている時は、デフォルトゲートウェイなどの ネットワーク情報(RIPなど)がRTに届くように設定する必要があります。
       もし、RIPを利用しないのであれば、スタティックにデフォルトゲートウェイを 設定する必要がります。
       

       ip lan2 route add net default ゲートウェイ 1
       

     • RIP Version 1の使用するプロトコル

       プロトコル	ポート番号	内容
       udp	route (520)	RIP Version1

     • 設定例

       nat descriptor masquerade static 1 1 133.176.200.68 udp route
       

  2. RT140eにtelnetで接続可能にする設定
     • 何故、必要か？

       IPマスカレードの外側からのtelnet接続は、IPマスカレード機能で パケットが破棄されます。 よって、RTのtelnetサーバへtelnetパケットが届きません。 結局、外側からRTにtelnet接続できません。

       RTにtelnetで接続する必要がある場合には、 telnetパケットがRTに届くように設定する必要があります。
       

     • telnetの使用するプロトコル

       プロトコル	ポート番号	内容
       tcp	telnet (23)	telnet

     • 設定例

       nat descriptor masquerade static 1 2 133.176.200.68 tcp telnet
       

  3. RT140eにtftpアクセス可能にする設定
     • tftpの使用するプロトコル

       プロトコル	ポート番号	内容
       udp	tftp (69)	tftpアクセス

     • 設定例

       nat descriptor masquerade static 1 3 133.176.200.68 udp tftp
       

  4. 192.168.0.2のWWWサーバ(WWWサービス)にアクセス可能にする設定
     • www/httpの使用するプロトコル

       プロトコル	ポート番号	内容
       tcp	www (80)	WWW

     • 設定例

       nat descriptor masquerade static 1 4 192.168.0.2 tcp www
       

  5. 192.168.0.2のftpサーバにアクセス可能にする設定
     • ftpの使用するプロトコル

       プロトコル	ポート番号	内容
       tcp	21	ftpサーバとの制御通信
       tcp	ftpdata (20)	ftpサーバからのデータ通信
       tcp	ftp (20,21)	ftp接続

       IPマスカレード越しにftpサーバを公開する時は、21/tcpを固定する。
       ただし、このままでは、PASV(passive)モードを許可できない。

     • 設定例

       nat descriptor masquerade static 1 5 192.168.0.2 tcp ftp
       

• IPパケットフィルタの設定
  • 基本的な設定

    設定の概要

    • 外側ネットワークからの新規アクセスは基本的に拒否する。
      主に、インタフェースのIN側フィルタを適用します。
    • 内側ネットワークからの新規アクセスは基本的に許可する。
      主に、インタフェースのOUT側フィルタを使うことになりますが、 ここでは、設定しません。
    • 静的IPマスカレードを通して外部からのアクセスを許可しているサービスは、 IPパケットフィルタでも通しておく必要がある。

    ポイント

    • IPフィルタの適用される位置とNAT処理の適用される位置関係

      IN方向のIPフィルタは、NAT処理された後のIPアドレスで適用すること
      OUT方向のIPフィルタは、NAT処理される前のIPアドレスで適用すること
      

    • (参考)QUEUEフィルタ(優先制御/帯域制御)の適用される位置とNAT処理の適用される位置関係

      QUEUEフィルタ(OUT方向)は、NAT/IPマスカレード処理された後のIPアドレスで適用すること。
      IPフィルタとは反対側。

    設定例

    #＜LAN2側IPアドレスに対するフィルタ設定＞
    
    ip filter 10 reject 133.176.200.68 * * * *
            # 内部で使用しているアドレスが、始点IPアドレスであるのは疑わしい
            # ip spoofingやland attackやsmurf attackの抑止
    ip filter 11 pass * 133.176.200.68 icmp * *
            # ICMPを通す (pingも含まれる)
    ip filter 12 pass * 133.176.200.68 established * *
            # 外から始めようとしたTCP通信(パケット)以外は、通す。UDPは別
            # …外から接続できない
    
    #＜NAT/IPマスカレード処理対象のIPアドレスに対するフィルタ設定＞
    
    ip filter 20 reject 192.168.0.0/24 * * * *
            # 内部で使用しているアドレスが、始点IPアドレスであるのは疑わしい
            # ip spoofingやland attackやsmurf attackの抑止
    ip filter 20 pass * 192.168.0.0/24 icmp * *
            # ICMPを通す (pingも含まれる)
    ip filter 21 pass * 192.168.0.0/24 established * *
            # 外から始めようとしたTCP通信(パケット)以外は、通す。UDPは別
            # …外から接続できない
    ip filter 22 pass * 192.168.0.0/24 udp domain *
            # 端末による任意のDNSサーバへの問い合せを許可する
    ip filter 23 pass * 192.168.0.0/24 tcp ftpdata *
            # 内部のftpクライアントが、外部のftpサーバとデータ通信するため。
            # PASV(passive)モードしか許可しないのなら不要。
    ip filter 24 pass * 192.168.0.0/24 tcp * ident
            # メール端末が送信(SMTP)した時、
            # メールサーバからident/113でユーザ確認する場合の対処
            # ただし、IPマスカレード時は流れない/流せない/通せない。
    
    #＜そのほかのフィルタ設定＞
    
    ip filter source-route on
            # source-routeオプション付きIPパケット
    ip filter directed-broadcast on
            # directed-broadcastパケット (smurf攻撃に対するフィルタ機能)
    
    #＜LAN2インタフェースのIN方向に適用＞
    
    ip lan2 secure filter in 1 2 3 10 11 12 20 21 22 23 24
    

  • 192.168.0.2をサーバとして公開する設定
    • 使いそうなサーバ機能を一通り通す設定例

      ip filter 50 pass * 192.168.0.2 tcp,udp * smtp,ident,gopher,finger,www,nntp,ntp,33434-33500
      

    • 設定の意味

      サーバとして公開するのですから、ホスト自身にもそれなりのセキュリティが 高められていると思います。 そのようなサーバとしてアクセス可能にしておくポート番号を 一通り通しています。
      

      少しでも穴を狭く細くしておく場合は、もっと細かく設定してください。

    • プロトコル

      各プロトコルのRFCやRFC1700、または、各種TCP/IPの解説本を参照

      プロトコル	ポート番号	内容
      tcp (tcp,udp)	smtp (25)	SMTP: メール転送(送信)
      tcp	ident (113)	ident/auth: ユーザ識別
      udp	domain (53)	DNS: 通常の問い合せ
      tcp	domain (53)	DNS: サーバ間のゾーン転送
      tcp,udp	gopher (70)	gopher:
      tcp,udp	finger (79)	finger:
      tcp (tcp,udp)	www,http (80)	HTTP:
      tcp (tcp,udp)	nntp (119)	NNTP: ネットワーク・ニュース
      tcp (tcp,udp)	ntp (123)	NTP,SNTP: 時刻合せ
      udp	syslog (514)	syslog
      udp	route (520)	RIP 1
      tcp,udp	33434-33500	traceroute

  • RT140eのDNSリカーシブサーバを利用する設定
    • DNSの使用するプロトコル

      プロトコル	ポート番号	内容
      udp	domain (53)	通常の問い合せ
      tcp	domain (53)	DNSサーバ間のゾーン転送

    • 設定例#1 (緩め)

      ip filter 13 pass * 133.176.200.68 udp * domain
      ip filter 14 pass * 133.176.200.68 udp domain *
      

    • 設定例#2 (始点IPアドレスと通信内容が確定)

      問い合せ先のDNSサーバが、133.176.200.42の53番ポートである。
      DNSサーバの設定を変更する場合は、フィルタの変更も必要。

      ip filter 13 pass 133.176.200.42 133.176.200.68 udp domain domain
      

  • RT140eにRIPを通す設定
    • RIP Version1の使用するプロトコル

      プロトコル	ポート番号	内容
      udp	route (520)	RIP Version 1

    • 設定例#1 (緩め)

      ip filter 15 pass * 133.176.200.68 udp * route
      

    • 設定例#2 (始点IPアドレスが確定)

      デフォルト・ゲートウェイ(デフォルト・ルータ)が、133.176.200.42である。
      →始点IPアドレスを固定する

      ip filter 15 pass 133.176.200.42 133.176.200.68 udp * route
      

  • RT140eにtelnetで接続可能にする設定
    • telnetの使用するプロトコル

      プロトコル	ポート番号	内容
      tcp	telnet (23)	telnet

    • 設定例#1 (緩め)

      ip filter 16 pass * 133.176.200.68 tcp * telnet
      

    • 設定例#2 (始点IPアドレスが確定)

      リモートメンテナンスホスト(telnetクライアント)が、133.176.200.42である。
      →始点IPアドレスを固定する

      ip filter 16 pass 133.176.200.42 133.176.200.68 tcp * domain
      

  • RT140eにtftpアクセス可能にする設定
    • tftpの使用するプロトコル

      プロトコル	ポート番号	内容
      udp	tftp (69)	tftpアクセス

    • 設定例#1 (緩め)

      ip filter 17 pass * 133.176.200.68 udp * tftp
      

    • 設定例#2 (始点IPアドレスが確定)

      リモートメンテナンスホスト(tftpクライアント)が、133.176.200.42である。
      →始点IPアドレスを固定する

      ip filter 17 pass 133.176.200.42 133.176.200.68 udp * tftp
      

  • 192.168.0.2のWWWサーバ(WWWサービス)にアクセス可能にする設定
    • www/httpの使用するプロトコル

      プロトコル	ポート番号	内容
      tcp	www (80)	WWW

    • 設定例

      ip filter 26 pass * 192.168.0.2 tcp * www
      

  • 192.168.0.2のftpサーバにアクセス可能にする設定
    • ftpの使用するプロトコル

      プロトコル	ポート番号	内容
      tcp	21	ftpサーバとの制御通信
      tcp	ftpdata (20)	ftpサーバからのデータ通信
      tcp	ftp (20,21)	ftp接続

      ftpサーバへのアクセスは、21/tcpを許可する。
      20/tcpは、ftpサーバからの接続になる。(既に通ってる)
      ただし、このままでは、PASV(passive)モードを許可できない。

    • ポート番号のニーモニックである「ftp」について

      ポート番号指定として、ftpと入力するとftpdata(20番)と21番が設定されます。 show config等をすると「ftpdata-21」、「20-21」となります。

    • 設定例

      ip filter 27 pass * 192.168.0.2 tcp * ftp
      

  • 外部のプライベートIPアドレス機器との通信は許可しない。

    • プライベートアドレス範囲	ネットワーク指定
      10.0.0.0〜10.255.255.255	10.0.0.0/8
      172.16.0.0〜172.31.255.255	172.16.0.0/12
      192.168.0.0〜192.168.255.255	192.168.0.0/16

    • 設定例

      ip filter 61 reject 10.0.0.0/8 * * * *
      ip filter 62 reject 172.16.0.0/12 * * * *
      ip filter 63 reject 192.168.0.0/16 * * * *
      

※「戻る/進む」はブラウザの履歴が使用されます [ RTpro / ヤマハ / 技術資料 / 設定例集 / RT's FAQ / マニュアル ]