RTA54i Rev.4.03.10のプロバイダ接続設定のファイアウォール機能の 「セキュリティレベル7」の詳細な説明です。
新規作成日2001/Jul/20
最終変更日2023/Jan/10
文書サイズ 36KB


[ 目次 ]

ファイアウォール機能のセキュリティレベル7
[ フィルタの概要 ]
  • 明らかに不要であるパケットの破棄 (Ingress)
  • WindowsのセキュリティホールになりやすいNetBIOSなどの通信の禁止
  • Netscapeの終了時に不必要な発呼を防止するフィルタ
  • LAN側機器の動的フィルタによるセキュリティフィルタ
静的フィルタの一覧
番号 適用 タイプ ログ プロトコル 送信元 受信先 メモ
IPアドレス ポート IPアドレス ポート
0 reject する * 10.0.0.0/8 * * * Ingress/in: Private A
1 reject する * 172.16.0.0/12 * * * Ingress/in: Private B
2 reject する * 192.168.0.0/16 * * * Ingress/in: Private C
3 reject する * 192.168.0.0/24 * * * Ingress/in: LAN1 Primary
10 reject する * * * 10.0.0.0/8 * Ingress/out: Private A
11 reject する * * * 172.16.0.0/12 * Ingress/out: Private B
12 reject する * * * 192.168.0.0/16 * Ingress/out: Private C
13 reject する * * * 192.168.0.0/24 * Ingress/out: LAN1 Primary
20 reject する udp,tcp * 135 * * Windows: DCE RPC
21 reject する udp,tcp * * * 135 Windows: DCE RPC
22 reject する udp,tcp * 137-139 * * Windows: NetBIOS
23 reject する udp,tcp * * * 137-139 Windows: NetBIOS
24 reject する udp,tcp * 445 * * Windows: Direct Hosting SMB
25 reject する udp,tcp * * * 445 Windows: Direct Hosting SMB
26 restrict 破棄時 tcpfin * * * 80,21,119 Netscape: connect on finished
27 restrict 破棄時 tcprst * * * 80,21,119 Netscape: connect on finished
30 pass しない icmp * * 192.168.0.0/24 * LAN1 Primary/in: ICMP (ping,traceroute,...)
31 pass しない established * * 192.168.0.0/24 * LAN1 Primary/in: TCP Connection (established)
32 pass しない tcp * * 192.168.0.0/24 113 LAN1 Primary/in: ident for SMTP,... (e-mail)
33 pass しない tcp * 20 192.168.0.0/24 * LAN1 Primary/in: ftp client (PORT)
34 pass しない tcp,udp * * 192.168.0.0/24 53 LAN1 Primary/in: dns server
35 pass しない udp * 53 192.168.0.0/24 * LAN1 Primary/in: dns resolv
36 pass しない udp * * 192.168.0.0/24 123 LAN1 Primary/in: NTP server
37 pass しない udp * 123 192.168.0.0/24 * LAN1 Primary/in: NTP client
99 pass しない * * * * * pass all
動的フィルタの一覧
番号 適用 プロトコル 送信元 受信先 メモ
監視 逆方向 順方向 IPアドレス IPアドレス
80 ftp * * FTP connection (tcp)
81 domain * * DNS resolv,... (tcp,udp)
82 www * * WWW Browser,... (tcp)
83 smtp * * SMTP connection (tcp)
84 pop3 * * POP3 connection (tcp)
98 tcp * * TCP Connection
99 udp * * UDP Connection
静的フィルタと動的フィルタの適用

チェックされている静的フィルタと動的フィルタの定義を適用する
動的フィルタ用アクセス制御ルールの一覧
登録されておりません。
フィルタに関する設定
  | ...
入出| # 静的フィルタの定義
■□| ip filter 200000 reject 10.0.0.0/8 * * * *
■□| ip filter 200001 reject 172.16.0.0/12 * * * *
■□| ip filter 200002 reject 192.168.0.0/16 * * * *
■□| ip filter 200003 reject 192.168.0.0/24 * * * *
□■| ip filter 200010 reject * 10.0.0.0/8 * * *
□■| ip filter 200011 reject * 172.16.0.0/12 * * *
□■| ip filter 200012 reject * 192.168.0.0/16 * * *
□■| ip filter 200013 reject * 192.168.0.0/24 * * *
■■| ip filter 200020 reject * * udp,tcp 135 *
■■| ip filter 200021 reject * * udp,tcp * 135
■■| ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
■■| ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
■■| ip filter 200024 reject * * udp,tcp 445 *
■■| ip filter 200025 reject * * udp,tcp * 445
□■| ip filter 200026 restrict * * tcpfin * www,21,nntp
□■| ip filter 200027 restrict * * tcprst * www,21,nntp
■□| ip filter 200030 pass * 192.168.0.0/24 icmp * *
□□| ip filter 200031 pass * 192.168.0.0/24 established * *
■□| ip filter 200032 pass * 192.168.0.0/24 tcp * ident
□□| ip filter 200033 pass * 192.168.0.0/24 tcp ftpdata *
□□| ip filter 200034 pass * 192.168.0.0/24 tcp,udp * domain
□□| ip filter 200035 pass * 192.168.0.0/24 udp domain *
□□| ip filter 200036 pass * 192.168.0.0/24 udp * ntp
□□| ip filter 200037 pass * 192.168.0.0/24 udp ntp *
□■| ip filter 200099 pass * * * * *
  | ...
入出| # 動的フィルタの定義
□■| ip filter dynamic 200080 * * ftp
□■| ip filter dynamic 200081 * * domain
□■| ip filter dynamic 200082 * * www
□■| ip filter dynamic 200083 * * smtp
□■| ip filter dynamic 200084 * * pop3
□■| ip filter dynamic 200098 * * tcp
□■| ip filter dynamic 200099 * * udp
  | ...
  | pp select 1
  | ...
  | # 接続先のフィルタの入力(IN)と出力(OUT)の適用
  | ip pp secure filter in 200000 200001 200002 200003 200020 200021 200022 200023 200024 200025 200030 200032
  | ip pp secure filter out 200010 200011 200012 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200098 200099
  | ...
  | pp enable 1
  | ...
フィルタ定義の説明

[ 静的フィルタの概要 ]

  • 0番〜19番:
    明らかに不要であるパケットの破棄
  • 20番〜25番:
    WindowsのセキュリティホールになりやすいNetBIOSなどの通信を禁止する
  • 26番〜27番:
    Netscapeの終了時に不必要な発呼をしてしまう可能性のある パケットの破棄
  • 30番〜39番:
    LAN側の機器のための静的セキュリティフィルタ。
    動的セキュリティフィルタでは、動的フィルタで管理できないものを 管理します。

[ 動的フィルタの概要 ]

  • 80番〜84番:
    動的フィルタで対応している一般的な通信を許可する設定で す。
  • 98番〜99番:
    TCPとUDPの動的フィルタ0番〜97番で救えなかったものを救 います。

[ 入力時に適用されるフィルタの動作 ]
動的フィルタ
フィルタ動作
説明
動的パス 動的フィルタにより生成された許可された通信路に該当するパケットは、通過します。
許可されていないパケットは、静的フィルタのフィルタ動作→動的フィルタのトリガー検出と評価されます。
静的フィルタ
フィルタ動作
説明
0番 発信元がクラスAのプライベートアドレス(10.0.0.0/8)であるパケットを破棄する。
IP Spoofing系攻撃の防御
1番 発信元がクラスBのプライベートアドレス(172.16.0.0/12)であるパケットを破棄する。
IP Spoofing系攻撃の防御
2番 発信元がクラスCのプライベートアドレス(192.168.0.0/16)であるパケットを破棄する。
IP Spoofing系攻撃の防御
3番 発信元がLAN側アドレス(192.168.0.0/24)であるパケットを破棄する。
IP Spoofing系攻撃の防御
20番 発信元のポート番号が135(DCE標準RPC)であるパケットを破棄する。
Windowsのセキュリティ
21番 受信先のポート番号が135(DCE標準RPC)であるパケットを破棄する。
Windowsのセキュリティ
22番 発信元のポート番号が137,138,139(NetBIOS)であるパケットを破棄する。
Windowsのセキュリティ
23番 受信先のポート番号が135であるパケットを破棄する。
Windowsのセキュリティ
24番 発信元のポート番号が445(ダイレクト・ホスティングSMBサービス)であるパケットを破棄する。
Windowsのセキュリティ
25番 受信先のポート番号が445(ダイレクト・ホスティングSMBサービス)であるパケットを破棄する。
Windowsのセキュリティ
30番 ※静的セキュリティフィルタのうち、動的フィルタで対処できなきものを通過させます。
ICMP(ping,traceroute,エラーの通知など)はであるパケットを通過させます。
ICMPをすべて(特にpingやtracerouteなど)通したくない場合には、 プロトコル指定をicmp-errorに変更します。
32番 ※静的セキュリティフィルタのうち、動的フィルタで対処できなきものを通過させます。
メールサーバが認証として利用しているidentを通過させます。
この通信を拒否した場合には「メールの通信は可能だが、なんだか遅い!」という症状が 出る場合があります。
default そのほかの通信は、すべて禁止
…フィルタのpassに該当しないものは、すべて破棄される。
動的フィルタ
トリガー検出
説明

動的フィルタが適用されていれば、通過が許可されたパケットを 対象にトリガー検出が行なわます。
セキュリティレベル7では、入力で動的フィルタが適用されておりませんので、 トリガー検出は行なわれません。
0番〜79番 サーバを公開する場合には、サーバ向けの通信の動的フィルタを適用する ことが有効である場合があります。

[ 出力時に適用されるフィルタの動作 ]
動的フィルタ
フィルタ動作
説明
動的パス 動的フィルタにより生成された許可された通信路に該当するパケットは、通過します。
許可されていないパケットは、静的フィルタのフィルタ動作→動的フィルタのトリガー検出と評価されます。
静的フィルタ
フィルタ動作
説明
10番 受信先がクラスAのプライベートアドレス(10.0.0.0/8)であるパケットを破棄する。
誤った通信の禁止(予防)
11番 受信先がクラスBのプライベートアドレス(172.16.0.0/12)であるパケットを破棄する。
誤った通信の禁止(予防)
12番 受信先がクラスCのプライベートアドレス(192.168.0.0/16)であるパケットを破棄する。
誤った通信の禁止(予防)
13番 受信先がLAN側アドレス(192.168.0.0/24)であるパケットを破棄する。
誤った通信の禁止(予防)
20番 発信元のポート番号が135(DCE標準RPC)であるパケットを破棄する。
Windowsのセキュリティ、予期しない発呼
21番 受信先のポート番号が135(DCE標準RPC)であるパケットを破棄する。
Windowsのセキュリティ、予期しない発呼
22番 発信元のポート番号が137,138,139(NetBIOS)であるパケットを破棄する。
Windowsのセキュリティ、予期しない発呼
23番 受信先のポート番号が135であるパケットを破棄する。
Windowsのセキュリティ、予期しない発呼
24番 発信元のポート番号が445(ダイレクト・ホスティングSMBサービス)であるパケットを破棄する。
Windowsのセキュリティ、予期しない発呼
25番 受信先のポート番号が445(ダイレクト・ホスティングSMBサービス)であるパケットを破棄する。
Windowsのセキュリティ、予期しない発呼
26番 回線の切断中なのに発信されるtcpfinパケットを破棄する。
WWWブラウザの終了時発呼の防止
27番 回線の切断中なのに発信されるtcprstパケットを破棄する。
WWWブラウザの終了時発呼の防止
99番 そのほかの通信は、すべて許可
「すべて通過するフィルタ」を用意しておかないと、 defaultによりすべて破棄される。
動的フィルタ
トリガー検出
説明

動的フィルタが適用されていれば、通過が許可されたパケットを 対象にトリガー検出が行なわます。
セキュリティレベル7では、出力で80番,81番,82番,83番,84番,98番,99番の動的フィルタが適用されており、 トリガー検出が行なわれます。
0番〜79番 80番以降は、比較的緩い動的フィルタが自動適用されています。
0番〜79番により厳しいフィルタを手動適用した場合には、 不要になった80番以降の動的フィルタの適用を解除することができます。
80番 LAN側機器のftp通信を許可するための動的フィルタです。
81番 LAN側機器のDNS通信を許可するための動的フィルタです。
82番 LAN側機器のHTTP通信を許可するための動的フィルタです。
83番 LAN側機器のSMTP通信を許可するための動的フィルタです。
84番 LAN側機器のPOP3通信を許可するための動的フィルタです。
98番 LAN側機器のTCP通信を許可するための動的フィルタです。
99番 LAN側機器のUDP通信を許可するための動的フィルタです。

PPPoEによる端末型プロバイダ接続設定の例
...
# 静的フィルタの定義
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter comment 200000 "Ingress/in: Private A"
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter comment 200001 "Ingress/in: Private B"
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter comment 200002 "Ingress/in: Private C"
ip filter 200003 reject 192.168.0.0/24 * * * *
ip filter comment 200003 "Ingress/in: LAN1 Primary"
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter comment 200010 "Ingress/out: Private A"
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter comment 200011 "Ingress/out: Private B"
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter comment 200012 "Ingress/out: Private C"
ip filter 200013 reject * 192.168.0.0/24 * * *
ip filter comment 200013 "Ingress/out: LAN1 Primary"
ip filter 200020 reject * * udp,tcp 135 *
ip filter comment 200020 "Windows: DCE RPC"
ip filter 200021 reject * * udp,tcp * 135
ip filter comment 200021 "Windows: DCE RPC"
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter comment 200022 "Windows: NetBIOS"
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter comment 200023 "Windows: NetBIOS"
ip filter 200024 reject * * udp,tcp 445 *
ip filter comment 200024 "Windows: Direct Hosting SMB"
ip filter 200025 reject * * udp,tcp * 445
ip filter comment 200025 "Windows: Direct Hosting SMB"
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter comment 200026 "Netscape: connect on finished"
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter comment 200027 "Netscape: connect on finished"
ip filter 200030 pass * 192.168.0.0/24 icmp * *
ip filter comment 200030 "LAN1 Primary/in: ICMP (ping,traceroute,...)"
ip filter 200031 pass * 192.168.0.0/24 established * *
ip filter comment 200031 "LAN1 Primary/in: TCP Connection (established)"
ip filter 200032 pass * 192.168.0.0/24 tcp * ident
ip filter comment 200032 "LAN1 Primary/in: ident for SMTP,... (e-mail)"
ip filter 200033 pass * 192.168.0.0/24 tcp ftpdata *
ip filter comment 200033 "LAN1 Primary/in: ftp client (PORT)"
ip filter 200034 pass * 192.168.0.0/24 tcp,udp * domain
ip filter comment 200034 "LAN1 Primary/in: dns server"
ip filter 200035 pass * 192.168.0.0/24 udp domain *
ip filter comment 200035 "LAN1 Primary/in: dns resolv"
ip filter 200036 pass * 192.168.0.0/24 udp * ntp
ip filter comment 200036 "LAN1 Primary/in: NTP server"
ip filter 200037 pass * 192.168.0.0/24 udp ntp *
ip filter comment 200037 "LAN1 Primary/in: NTP client"
ip filter 200099 pass * * * * *
ip filter comment 200099 "pass all"
...
# 動的フィルタの定義
ip filter dynamic 200080 * * ftp
ip filter dynamic comment 200080 "FTP connection (tcp)"
ip filter dynamic 200081 * * domain
ip filter dynamic comment 200081 "DNS resolv,... (tcp,udp)"
ip filter dynamic 200082 * * www
ip filter dynamic comment 200082 "WWW Browser,... (tcp)"
ip filter dynamic 200083 * * smtp
ip filter dynamic comment 200083 "SMTP connection (tcp)"
ip filter dynamic 200084 * * pop3
ip filter dynamic comment 200084 "POP3 connection (tcp)"
ip filter dynamic 200098 * * tcp
ip filter dynamic comment 200098 "TCP Connection"
ip filter dynamic 200099 * * udp
ip filter dynamic comment 200099 "UDP Connection"
...
# NATディスクリプタの定義
nat descriptor type 1 masquerade
...
# 接続先情報
pp select 1
pp name "PRV/1/1/4:フレッツ・ADSL"
pppoe use lan2
pppoe auto disconnect off
pppoe disconnect time 60
ip pp secure filter in 200000 200001 200002 200003 200020 200021 200022 200023 200024 200025 200030 200032
ip pp secure filter out 200010 200011 200012 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200098 200099
ip pp nat descriptor 1
pp auth accept pap chap
pp auth myname NetVolante NetVolante
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
pp enable 1
...