Back-home
ルーターIPフィルター・NAT設定
Top view / Search view / Administer

MN128-SOHO-SL10 2002/12/22 (Sun)

フレッツISDNに対応するルーターを用いて、1台のパソコンにネームサーバー、WWWサーバー、メールサーバーを構築する方法です。

MN128-SOHO-SL10 ver2.41(NTT-TE東京)では、
以下のようにIPオプションを設定します。
必ず、ルーターのDHCPサーバーはOFFとします。
ルーターのIPアドレス: 192.168.0.1
Web,DNS,Mailサーバーは LAN内で 192.168.0.2
(WAN側)固定IPアドレス: 224.1x6.x12.25
(WAN側)セカンダリIPアドレス: 2x3.141.12x.33
の場合、DNSポート 53(ニーモニック domain)を開放するなどの設定をします。
また、LAN内に OS Windowsを含むクライアントPC3台
  192.168.0.3 192.168.0.4 192.168.0.5 を接続します。
常時ダイアルアップ接続は #0 を利用するとします。
なお、解説の便宜上、サーバー、クライアントPC、ルーターのプライベートIPアドレスの第4オクテッドの数値(赤で示した数字)を連番としましたが、実際の運用では、セキュリティ強化のため、不連続の数値とします。

サーバーのホスト名: dns.example.jp ドメイン名: example.jp
イーサーネット(LAN)カードのMACアドレス: 00:33:9b:da:12:44

( filter は番号の小さい順に実行されますので、私はip filter 1 から 8 まで、緊急にポート、プロトコルなどを遮断する時に備えて通常未使用としております。)
ip filter 9 reject out * * icmp * * remote 0  ← セキュリティのため、コマンド ping,traceroute 応答を拒否します(ネットワークが完成してから、監視用プロトコル icmp を操作するべきです)。
ip filter 10 pass in * 192.168.0.2/32 udp * domain remote 0
ip filter 11 pass in * 192.168.0.2/32 tcp * domain remote 0  ← セカンダーネームサーバーをファイアーウォール外部に置くときは必要 (送信元のルートネームサーバーのIP アドレスが分かれば、pass in ルートネームサーバー と指定し、tcp ポート53のアクセスを許可します)。
ip filter 12 pass in * 192.168.0.2/32 tcp * www remote 0
ip filter 13 pass in * 192.168.0.2/32 tcp * ftp-ftpdata remote 0  ← ftpによるダウンロードを可能にするとき
ip filter 14 pass in * 192.168.0.2/32 tcp * smtp remote 0
ip filter 15 pass in * 192.168.0.2/32 tcp * pop3 remote 0
ip filter 16 pass in * 192.168.0.2/32 * * 1024-65535 remote 0
ip filter 17 reject in * 192.168.0.3/32 tcp * ftp remote *
ip filter 18 reject in * 192.168.0.4/32 tcp * ftp remote *
ip filter 19 reject in * 192.168.0.5/32 tcp * ftp remote *
ip filter 20 reject out * * * * 135-139 remote *
ip filter 21 reject out * * * 135-139 * remote *
ip filter 22 reject in 10.0.0.0/8 * * * * remote 0
ip filter 23 reject in 172.16.0.0/12 * * * * remote 0
ip filter 24 reject in 192.168.0.0/16 * * * * remote 0
ip filter 25 reject out * 10.0.0.0/8 * * * remote 0
ip filter 26 reject out * 172.16.0.0/12 * * * remote 0
ip filter 27 reject out * 192.168.0.0/16 * * * remote 0
ip filter 28 reject dns qtype 6
ip filter 29 restrict out * * tcpfin * * remote *
ip filter 30 reject out * * udp 137 domain remote *
ip host 192.168.0.2 dns.example.jp 00:33:9b:da:12:44
ip nat 1 192.168.0.2/*/* 224.1x6.x12.25 remote 0
ip nat 2 192.168.0.2/*/* 2x3.141.12x.33 remote 0
ip nat 3 192.168.0.2/tcp/www ipcp remote 0
ip nat 4 192.168.0.2/tcp/ftp ipcp remote 0
ip nat 5 192.168.0.2/tcp/smtp ipcp remote 0
ip nat 6 192.168.0.2/tcp/pop3 ipcp remote 0
ip nat 7 192.168.0.2/tcp/ftpdata ipcp remote 0
ip nat 8 */*/* ipcp remote 0



Next(+0) / Back(-0) / Search view / Log view / Administer

- Harpist note ver1.02 -