基本操作

ルーターへの接続は「TELNET」を利用します。
「TELNET」はWindows標準のものが利用できます。

ログインのユーザーモードは2段階になっています。
最初のログインは、一般ユーザーとしてのログインになります。
ルーターへログイン後、「administrator」としてもう一度ログインします。

一般ユーザーで利用できるコマンドは、内容を表示するコマンドだけです。
ルーターの設定変更は、「administrator」モードでなければできません。

設定の流れ

  • ルーターへログイン
  • Administratorでログイン
  • コマンド入力
  • save
  • quit
  • quit

設定手順

WindowsXPの場合の名称で説明します。

例として

ルーターのIPアドレス 「192.168.0.254」
ルーターのログインパスワード 「passwd」
ルーターのAdministratorのパスワード 「adminpasswd」

の場合で説明します。

「コマンドプロンプト」を起動。

下記コマンドを入力します。

コマンドの入力を行います。
コマンドの入力が終わったら設定を保存します。

ルーターからログアウトします。

以上がルーターの基本的な設定手順です。

パケットフィルター(静的フィルター)

基本的な考え方

  • パケットフィルターの適用対象は、各インターフェースの「in」と「out」それぞれに適用可能です。インターフェースとは、[LAN1]、[LAN2]、[pp1]、[pp2]、[tunnel1]、[tunnel2]等の事です。[LAN1]、[LAN2]…  ← 物理的なLANポート
    [pp1]、[pp2]… ← インターネット接続等で利用する、仮想的なポートです。
    [tunnel1]、[tunnel2]… ← VPNで利用するトンネルの仮想的なポートです。イメージ的には、[LAN]の中に[pp]があり、[pp]の中に[tunnel]があるといった感じです。
  • パケットフィルターの基本概念パケットフィルターとは、条件によりパケットを通過させる、させないを決めるものです。
    <条件>
    条件指定できるものは下記になります。・送信元IPアドレス
    ・送信先IPアドレス
    ・プロトコル
    ・送信元ポート
    ・送信先ポート上記条件の組み合わせでフィルタリング設定を行います。

フィルター適用パターン

  • フィルターは設定順に適用されます。
  • フィルターが何も適用されていない場合はすべてのパケットが通過します。
  • フィルターを1行でも適用されている場合、フィルターの設定順で照らしあわせて、合致したらそのフィルターを適用します。
  • 全てのフィルターに合致しないパケットは破棄されます。※重要

記述方法

フィルタリングルールを記述し、記述したフィルタリングルールをインターフェースに適用する記述をします。

  • フィルタリングルールの記述

【書式】

<フィルター番号>: 自由につけられます。
<処理内容>: reject(破棄)、pass(通過)、pass-log(通過ログあり)
<送信元IPアドレス><送信先IPアドレス>: ネットワークアドレス、ホストアドレス等の指定
<プロトコル>: tcp、udp、esp、gre 等
<送信元ポート><送信先ポート>:1~65535

・主なポート

フィルタリング設定で記述するのはほとんどの場合上記のような決まったポート番号です。

上記例では、送信先IPアドレスが「192.168.0.0/24」、プロトコルが「tcp」、宛先ポートが「135」のパケットを破棄します。

「*」は全てを意味します。複数指定したい場合は「,」で区切り列挙するか、[-]で範囲指定します。

  • フィルタリング適用の記述

【書式】

上記例は[pp]インターフェースに適用方向が[in]、フィルターNO 1001 1002 1003 1004 1999 を適用する設定です。

設定例

インターネット接続に必要な最低限のフィルタリング設定です。

下記環境の場合で説明します。

ローカルネットワークが「192.168.0.0/24」
ルーターのIPアドレスが「192.168.0.254」
ルーターのインターネット側IPアドレスが「172.20.0.1」
ルーターのログインパスワードが「passwd」
ルーターのAdministratorのパスワードが「adminpasswd」

  • ルーターへログインしAdministratorとしてログインします。
    コマンドプロンプトを起動し
  • フィルタリングルールを入力します。 一行づつ入力し[ENTER]を押します。
  • フィルタリングルールを[pp]インターフェースに適用します。
    ppインターフェースの番号選択

    [pp1]インターフェースの[in]にフィルタリング適用

    [pp1]インターフェースの[out]にフィルタリング適用
  • 不正パケット検知機能をONにしパケットを破棄する。
  • フィルタリングが適用されたパケットのログを残す設定に変更。
    ※[pass]のフィルターの場合は[pass-log]と記述されているものだけがlogに残る。
  • 設定内容を保存します。
  • ルーターからログアウトします。

設定例の詳細説明

[in]用 インターネット側からのパケットを制限
送信元がプライベートアドレスからのパケットを破棄する。

① クラスAのプライベートアドレスからのパケットを破棄
② クラスBのプライベートアドレスからのパケットを破棄
③ クラスCのプライベートアドレスからのパケットを破棄
④ 自ローカルネットワークアドレスからのパケットを破棄 ※あり得ないパケット

[out]用 インターネット側へのパケットを制限
送信先がプライベートアドレスからのパケットを破棄する。

① クラスAのプライベートアドレス宛のパケットを破棄
② クラスBのプライベートアドレス宛のパケットを破棄
③ クラスCのプライベートアドレス宛のパケットを破棄
④ 自ローカルネットワークアドレス宛のパケットを破棄 ※あり得ないパケット

[in]用 インターネット側からのパケットを制限
RPCを利用するインターネット側からのパケットを破棄する。(ウイルス対策)

[out]用 インターネット側へのパケットを制限
RPCを利用するインターネット側へのパケットを破棄する。(ウイルス対策)

① プロトコル[udp][tcp]、送信元ポート[135]のパケットを破棄
② プロトコル[udp][tcp]、送信先ポート[135]のパケットを破棄

[in]用 インターネット側からのパケットを制限
Windows98/Meの共有資源を利用するインターネット側からのパケットを破棄する。

[out]用 インターネット側へのパケットを制限
Windows98/Meの共有資源を利用するインターネット側へのパケットを破棄する。

① プロトコル[udp][tcp]、送信元ポート[137]-[139]のパケットを破棄
② プロトコル[udp][tcp]、送信先ポート[137]-[139]のパケットを破棄

[in]用 インターネット側からのパケットを制限
Windows2000/XPの共有資源を利用するインターネット側からのパケットを破棄する。

[out]用 インターネット側へのパケットを制限
Windows2000/XPの共有資源を利用するインターネット側へのパケットを破棄する。

① プロトコル[udp][tcp]、送信元ポート[445]のパケットを破棄
② プロトコル[udp][tcp]、送信先ポート[445]のパケットを破棄

[in]用 インターネット側からのパケットを許可
インターネット側からのVPN(IPSec)のパケットを通す。

① プロトコル[ah][esp]のパケットを通す
② プロトコル[udp]、送信元ポート[500]のパケットを通す
③ プロトコル[udp]、送信先ポート[500]のパケットを通す

[in]用 インターネット側からのパケットを許可
インターネット側DNSへの問い合わせの返答パケットを通す。
※当方の環境ではルーターの外部DNSサーバーへのリレーの機能が下記フィルターを入れないと利用できなかった為に追加。

① 送信先がルーターのインターネット側アドレスのパケットは通す

[in]用 インターネット側からのパケットを許可
インターネット側からローカルネットワークアドレス宛のパケットを通す

① 送信先がローカルネットワークアドレスのパケットは通す

[out]用 インターネット側へのパケットを許可
インターネット側へのパケットを通す

① 全てのパケットを通す

注意)

フィルタリングの適用順にパケットがフィルターされますので、合致しなかったパケットは次のフィルターで照合されて合致しなかったらまた次のフィルターへと進んでいきます。どれにも合致せずに最後まで到達したパケットは破棄されます。その為、最後にパケットを通過させるフィルターを入れる必要がでてきます。

[pp]インターフェース番号1を選択します。

インターネット側からのパケットをフィルタリングします。

[pp]インターフェースに適用方向が[in]でフィルター番号順にパケットフィルターを適用します。

インターネット向けのパケットをフィルタリングします。

[pp]インターフェースに適用方向が[out]でフィルター番号順にパケットフィルターを適用します。

不正パケット検知機能をONにしパケットを破棄する。

フィルタリングが適用されたパケットのログを残す設定に変更。
※[pass]のフィルターの場合は[pass-log]と記述されているものだけがlogに残る。

設定内容を保存します。

administratorからログアウトします。

ルーターからログアウトします。

動的フィルター

静的フィルターを補完する形で適用します。
動的フィルターの基本的な考えは、通信が開始されたら扉を開き、その返答パケットは通して通信が完了したら扉を閉鎖します。
ちょっと言葉の使い方が適当でないかもしれませんが、イメージ的には上記のような感じです。

すこし内容がややこしいので今回は説明は致しません。詳しくはYAMAHAのNetvolanteサイトにて確認してください。