MN128 SOHO Slot-in Ver. 1.30の設定
公開するのはセキュリティ的に問題があるかな?
本当に公開したらまずい情報は一応隠しておきます
こちらは最新のバージョンではありません
検索エンジンなどで直接このページに来た方は、トップから入りなおしてくださいm(__)m
|
|
# MN128-SOHO-Slotin 1.30 Sep 18 2000 12:04:35 # MAC Address: 00:80:b8:30:2c:24 sys btnconn 0 sys color blue sys encrypt ca975939ae92418a user XXXXX password Z9DIupi0$kt5TsGJIog1ya encrypted user 1 access off user 2 access off user 3 access off analog dialin 0 number XXX-XXX-XXXX analog dialin 0 recvincall 1 on analog dialin 0 recvport port1 analog flexphone callwait on ip address 192.168.0.1/24 ip dhcp server off ip dns relay off ip filter 1 pass in * * icmp * * remote * ip filter 2 pass in * * udp * domain remote * ip filter 3 pass in * * tcp * domain remote * ip filter 4 pass in * * tcp * www remote * ip filter 5 pass in * * tcp * 443 remote * ip filter 6 pass in * * tcp * 22 remote * ip filter 7 pass in * * tcp * smtp remote * ip filter 8 pass in * * tcp * 113 remote * ip filter 9 pass in * * tcp * pop3 remote * ip filter 10 pass in * * tcp * nntp remote * ip filter 11 pass in * * tcp * ftp remote * ip filter 12 pass in * * tcp * ftpdata remote * ip filter 13 pass in * * tcp * ntp remote * ip filter 14 pass in * * udp * ntp remote * ip filter 15 pass in * * udp domain * remote * ip filter 16 pass in * * tcp domain * remote * ip filter 17 pass in * * tcp www * remote * ip filter 18 pass in * * tcp 443 * remote * ip filter 19 pass in * * tcp 22 * remote * ip filter 20 pass in * * tcp smtp * remote * ip filter 21 pass in * * tcp 113 * remote * ip filter 22 pass in * * tcp pop3 * remote * ip filter 23 pass in * * tcp nntp * remote * ip filter 24 pass in * * tcp ftp * remote * ip filter 25 pass in * * tcp ftpdata * remote * ip filter 26 pass in * * tcp ntp * remote * ip filter 27 pass in * * udp ntp * remote * ip filter 28 reject in * * tcpest * * remote * ip filter 29 reject in * * * 137-139 * local ip filter 30 reject in * * * * 137-139 local ip filter 31 reject in * * * * * remote * ip las accept off ip nat 1 192.168.0.100/tcp/www ipcp remote * ip nat 2 192.168.0.100/tcp/smtp ipcp remote * ip nat 3 192.168.0.100/icmp ipcp remote * ip nat 4 */*/* ipcp remote * ip rip off ip route 0.0.0.0/0/7 remote 0 auto ip syslog host 192.168.0.100 ip syslog notice on card air essid MNSS000001 card air11 ssid MN80211B302C24 remote 0 answer channel 1b remote 0 call schedule terminate off remote 0 disconnect change terminate off remote 0 disconnect idle 0 remote 0 disconnect max 0 remote 0 limit charge 0/7 remote 0 limit count 0/60 remote 0 limit reconnect permit on remote 0 name "FLET'S ISDN" remote 0 number XXX-XXX-XXXX remote 0 send id abcdefg12345@iij.ad.jp remote 0 send password IssaC8BgvouU#a encrypted |
解説
|
(1)
|
"XXXX"の部分は、本当はルーターの管理者権限を持ったユーザーのユーザー名が入ります。デフォルトは"admin"になっていると思いますが、セキュリティを考慮して変更した方がいいでしょう。 また、私は事実上不必要な"userX"アカウントは全て無効にしてあります。もし利用するのならば、こちらも変更した方がいいでしょう。 |
|
(2)
|
隠してありますが、ここは自分の電話番号が入るところです。 |
|
(3)
|
ルーター自体のIPアドレスを指定するところです。XXX.XXX.XXX.XXX/XXの形式で指定し、/の前がIPアドレスが、/の後がサブネットマスクを指定している部分です。 私はというと、ご覧の通りありがちなクラスCのプライベートアドレスを使用しています。 |
| (4) | ルーターのDHCPサーバー機能を利用するかどうかを決定する部分です。サーバーを家庭内LANに設置するのならば、この機能はoffにしておくべきです。 |
| (5) | AutoDNSと呼ばれる機能を利用するかどうかを決定する部分です。家庭内LANにDNSサーバーを設置する場合は、家庭内LANに存在する端末は全てそのDNSサーバーを利用することになるはずです。 私の家庭内LANには必要に応じて電源を入れる端末もいますが、その端末のDNSはLinuxサーバーを指定しているので、ここはoffになっています。 |
| (6) |
(1)~(5)まではルーターのGUI画面で設定する部分ですが、(6)~(13)はルーターのマニュアルを参照しながら手でコマンドを設定する部分になります。詳細はルーターのマニュアルに譲りますが、Destination Portが右から3番目の項目のパケットの通過を許可する設定を行っています。
具体的にルーターの通過を
許可しているサービスは、 Telnet(ポート番号23)を通していないのは、必要だったらSSHを利用するからです。 |
| (7) | こちらは(6)の裏返しに相当する部分で、Source Portが右から4番目の項目のパケットの通過を許可する設定を行っています。許可しているサービスは(6)と同一です。 |
| (8) | "tcpest"は、インターネット側から家庭内LANに向けてTCPのセッションを張ろうとする最初のパケットの事を指します。つまりこの記述によって(6)と(7)で許可したサービスに該当せず、かつインターネット側から家庭内LANに対してセッションを張ろうとする全てのパケットが拒否されます。 |
| (9) | 最後の項目の"local"は"家庭内LAN側"を意味します。つまり家庭内LAN側から受け取ったSource PortもしくはDestination Portが137~139のパケットを拒否するように設定しています。 この137~139のポートが何に使用されるかというと、Microsoft社が開発したNet BIOSプロトコルに使用されています。誤解を恐れずに言い切ると、Windows系のOSで言うところの "ネットワークコンピューター"を利用するために使用されるポートです。このポートを閉じておかないと、インターネット上のどこかの誰かにあなたのWindowsの共有フォルダをのぞかれる、なんてことになりますので、気をつけましょう。 |
| (10) | (6)~(9)の全てのルールに該当しないパケットを全て拒否する設定を行っています。この設定を行わないと、フィルタで制限した気になっていても、実は全く制限されていないということになりますので、必ず設定しましょう。 |
| (11) | 非常に長い話になるので説明はしませんが、基本的にIP Masquarade機能を利用するとLAN側のサーバーをインターネット側に公開する事は不可能になります。ここの記述はその制限を回避するための設定を行っている部分です。NATテーブルと呼ばれる機能です。 ここの3行の意味をまとめて説明すると、"割り当てられたIPアドレス(ipcp)に対してTCPのwww/smtpパケット、及びicmpパケットの接続要求がインターネット側からあった場合、その要求を192.168.0.100に転送せよ"ということになります。 |
| (12) | (11)のようなNATテーブルを一つでも書いてしまうと、逆に何も設定がない端末についてはインターネットへの接続が出来なくなってしまうので、ここでその他の全ての端末用のNATテーブルを定義してあります。 |
| (13) | (13)以降はルーターのGUI画面で設定できる部分です。 ここは ルーターのRIP機能を設定している部分です。RIPとは、ルーター間でルーティングに必要とされる情報を交換するために利用されるプロトコルですが、ダイヤルアップ環境では基本的に必要ありません。オンにしておくと無駄なパケットが飛びますので、offにしておいた方がいいでしょう。 |
| (14) | インターネットへの自動接続をonにすると、この項目が追加されます。 |
| (15) | ルーターのログについて設定している部分です。 SYSLOG HOSTサーバー機能を持ったサーバーを指定すると、そのサーバー上でルーターのログを見ることが出来ます。Turbo LinuxはSYSLOG HOSTサーバー機能を持っているので、そのマシンのIPを指定してあります。 実際に見ることができるのは、(6)~(10)のルールによってルーター上でパケットを拒否/破棄した際の情報になります。外部からのクラッキングやアタックを検知するためにも、この機能を利用することを強くお勧めします。 |
| (16) | フレッツISDNを利用するにあたってかけるアクセスポイントへの電話番号が入る部分です。 フレッツISDNの場合、ここのユーザーに別々の電話番号が割り当てられ、また認証の一環としてISDNの発信者番号機能を利用するので、ここは公開しても他人が利用できませんが、一応隠しておきます。 |
| (17) | フレッツISDNのユーザー名として送る文字列が入る部分です。プロバイダによって異なるようですが、一般的には(それまでプロバイダで利用していた利用者ID)@(プロバイダ名)という構成になるようです。 |
