MN128 SOHO Slot-in Ver. 1.40の設定
一番うれしいのは、フィルタの数の上限が32個から64個になったことです
こちらは最新のバージョンではありません
検索エンジンなどで直接このページに来た方は、トップから入りなおしてくださいm(__)m
|
|
# MN128-SOHO-Slotin 1.40 Dec
2 2000 18:20:50 # MAC Address: 00:80:b8:30:2c:24 sys btnconn 0 sys color blue sys encrypt 900c96908277e195 user admin password J0DBWnPno1b1Zd0jhtN0ma encrypted user 1 access off user 2 access off user 3 access off analog dialin 0 number XXX-XXX-XXXX analog dialin 0 recvincall 1 on analog dialin 0 recvport port1 analog flexphone callwait on ip address 192.168.0.1/24 ip dhcp server off ip dns relay off ip filter 1 pass in * * icmp * * remote * nolog ip filter 2 pass in * * udp * domain remote * nolog ip filter 3 pass in * * tcp * domain remote * nolog ip filter 4 pass in * * tcp * www remote * nolog ip filter 5 pass in * * tcp * 443 remote * nolog ip filter 6 pass in * * tcp * 22 remote * nolog ip filter 7 pass in * * tcp * smtp remote * nolog ip filter 8 pass in * * tcp * 113 remote * nolog ip filter 9 pass in * * tcp * pop3 remote * nolog ip filter 10 pass in * * tcp * nntp remote * nolog ip filter 11 pass in * * tcp * ftp remote * nolog ip filter 12 pass in * * tcp * ftpdata remote * nolog ip filter 13 pass in * * tcp * ntp remote * nolog ip filter 14 pass in * * udp * ntp remote * nolog ip filter 15 pass in * * udp domain * remote * nolog ip filter 16 pass in * * tcp domain * remote * nolog ip filter 17 pass in * * tcp www * remote * nolog ip filter 18 pass in * * tcp 443 * remote * nolog ip filter 19 pass in * * tcp 22 * remote * nolog ip filter 20 pass in * * tcp smtp * remote * nolog ip filter 21 pass in * * tcp 113 * remote * nolog ip filter 22 pass in * * tcp pop3 * remote * nolog ip filter 23 pass in * * tcp nntp * remote * nolog ip filter 24 pass in * * tcp ftp * remote * nolog ip filter 25 pass in * * tcp ftpdata * remote * nolog ip filter 26 pass in * * tcp ntp * remote * nolog ip filter 27 pass in * * udp ntp * remote * nolog ip filter 28 reject in * * * 137-139 * local ip filter 29 reject in * * * * 137-139 local ip filter 61 reject out * 10.0.0.0/8 * * * remote * ip filter 62 reject out * 172.16.0.0/12 * * * remote * ip filter 63 reject out * 192.168.0.0/16 * * * remote * ip filter 64 reject in * * * * * remote * ip las accept off ip nat 1 192.168.0.100/tcp/www ipcp remote * ip nat 2 192.168.0.100/tcp/smtp ipcp remote * ip nat 3 192.168.0.100/tcp/113 ipcp remote * ip nat 4 192.168.0.100/icmp ipcp remote * ip nat 5 */*/* ipcp remote * ip rip off ip route 0.0.0.0/0/7 remote 0 auto ip syslog debug on ip syslog host 192.168.0.100 ip syslog info on ip syslog notice on card air essid MNSS302C24 card air11 channel 1 card air11 ssid MN80211B302C24 remote 0 call schedule terminate off remote 0 call schedule channel channel 2bbacp remote 0 disconnect change terminate off remote 0 disconnect idle 0 remote 0 disconnect max 0 remote 0 limit charge 0/7 remote 0 limit count 0/60 remote 0 limit reconnect permit on remote 0 name "Flet's ISDN" remote 0 number XXX-XXX-XXXX remote 0 send id abcdefg12345@iij.ad.jp remote 0 send password IAs32647UZgIOa encrypted |
解説
Ver.1.30から変更になった部分を青色で記述しています
|
(1)
|
"XXXX"の部分は、本当はルーターの管理者権限を持ったユーザーのユーザー名が入ります。デフォルトは"admin"になっていると思いますが、セキュリティを考慮して変更した方がいいでしょう。 また、私は事実上不必要な"userX"アカウントは全て無効にしてあります。もし利用するのならば、こちらも変更した方がいいでしょう。 |
|
(2)
|
隠してありますが、ここは自分の電話番号が入るところです。 |
|
(3)
|
ルーター自体のIPアドレスを指定するところです。XXX.XXX.XXX.XXX/XXの形式で指定し、/の前がIPアドレスが、/の後がサブネットマスクを指定している部分です。 私はというと、ご覧の通りありがちなクラスCのプライベートアドレスを使用しています。 |
| (4) | ルーターのDHCPサーバー機能を利用するかどうかを決定する部分です。サーバーを家庭内LANに設置するのならば、この機能はoffにしておくべきです。 |
| (5) | AutoDNSと呼ばれる機能を利用するかどうかを決定する部分です。家庭内LANにDNSサーバーを設置する場合は、家庭内LANに存在する端末は全てそのDNSサーバーを利用することになるはずです。 私の家庭内LANには必要に応じて電源を入れる端末もいますが、その端末のDNSはLinuxサーバーを指定しているので、ここはoffになっています。 |
| (6) |
(1)~(5)まではルーターのGUI画面で設定する部分ですが、(6)~(13)はルーターのマニュアルを参照しながら手でコマンドを設定する部分になります。詳細はルーターのマニュアルに譲りますが、Destination Portが右から3番目の項目のパケットの通過を許可する設定を行っています。
具体的にルーターの通過を
許可しているサービスは、 Telnet(ポート番号23)を通していないのは、必要だったらSSHを利用するからです。 全体を通じて一番最後に"nolog"が加えられていますが、これはVersion 1.40からpassしたパケットについてもデフォルトでSyslogが出力されるようになったため、その出力を止めるためにつけてあります。 |
| (7) |
こちらは(6)の裏返しに相当する部分で、Source Portが右から4番目の項目のパケットの通過を許可する設定を行っています。許可しているサービスは(6)と同一です。 (6)と同じく、passのフィルタに対しては"nolog"をつけてあります。 |
| (8) | 最後の項目の"local"は"家庭内LAN側"を意味します。つまり家庭内LAN側から受け取ったSource PortもしくはDestination Portが137~139のパケットを拒否するように設定しています。 この137~139のポートが何に使用されるかというと、Microsoft社が開発したNet BIOSプロトコルに使用されています。誤解を恐れずに言い切ると、Windows系のOSで言うところの "ネットワークコンピューター"を利用するために使用されるポートです。このポートを閉じておかないと、インターネット上のどこかの誰かにあなたのWindowsの共有フォルダをのぞかれる、なんてことになりますので、気をつけましょう。 |
| (9) | 新規に追加したフィルタです。おまじないに近い物ですが、要するにプライベートIPアドレス発のパケットがインターネット側に出て行かないように制限をかけているフィルタです。 当然自分が利用しているネットワークのクラスだけ書けばいい(私の場合はクラスC)という話はありますが、例えばサーバーを乗っ取られて踏み台として利用される場合、そのようなIPアドレスをかたって他のサーバーに攻撃をかければ、 自分の足跡が見つかりにくいということがありますので、一応書いてあります。 また、その逆でプライベートアドレス発でLinux Serverにアクセスしてくるパケットを落とす必要もあるのですが、こちらはフィルタ番号64番で止まるので特に書いていません。 |
| (10) |
(6)~(9)の全てのルールに該当しないパケットを全て拒否する設定を行っています。この設定を行わないと、フィルタで制限した気になっていても、実は全く制限されていないということになりますので、必ず設定しましょう。 Ver.1.30の時は"ip filter 28 reject in * * tcpest * * remote *"というフィルタがあったのですが、よくよく考えてみるとこのフィルタが含有しているので、このフィルタは削除しました。 |
| (11) |
非常に長い話になるので説明はしませんが、基本的にIP Masquarade機能を利用するとLAN側のサーバーをインターネット側に公開する事は不可能になります。ここの記述はその制限を回避するための設定を行っている部分です。NATテーブルと呼ばれる機能です。 ログを見ていると、意外に外からポート113(IDENT)を利用しようとしていて拒否されている記録があったので、許容するためにポート113への接続をLinuxサーバーに転送するような設定を追加しました。 |
| (12) | (11)のようなNATテーブルを一つでも書いてしまうと、逆に何も設定がない端末についてはインターネットへの接続が出来なくなってしまうので、ここでその他の全ての端末用のNATテーブルを定義してあります。 |
| (13) | (13)以降はルーターのGUI画面で設定できる部分です。 ここは ルーターのRIP機能を設定している部分です。RIPとは、ルーター間でルーティングに必要とされる情報を交換するために利用されるプロトコルですが、ダイヤルアップ環境では基本的に必要ありません。オンにしておくと無駄なパケットが飛びますので、offにしておいた方がいいでしょう。 |
| (14) | インターネットへの自動接続をonにすると、この項目が追加されます。 |
| (15) |
ルーターのログについて設定している部分です。 ついでに、ではありますが、以前は"Notice"のみonにしていましたが、ついでに"Debug"と"Info"もonにしました。もっとも、何が出力されるかは私もよくわかっていませんが.... |
| (16) | フレッツISDNを利用するにあたってかけるアクセスポイントへの電話番号が入る部分です。 フレッツISDNの場合、ここのユーザーに別々の電話番号が割り当てられ、また認証の一環としてISDNの発信者番号機能を利用するので、ここは公開しても他人が利用できませんが、一応隠しておきます。 |
| (17) | フレッツISDNのユーザー名として送る文字列が入る部分です。プロバイダによって異なるようですが、一般的には(それまでプロバイダで利用していた利用者ID)@(プロバイダ名)という構成になるようです。 |
