| 3. ADSL RouterのIPフィルタの設定 |
外部からの不正なアクセスを可能な限り防ぐように、@ADSL - You
を参考に、Megabit Gear TE4100を設定した。
TE4121Cでも、問題なく動いています。
| No. |
優先度 |
インターフェース |
送信元IPアドレス/マスク長 |
送信先IPアドレス/マスク長 |
プロトコル |
送信元ポート番号 |
送信先ポート番号 |
アクション |
| 1 |
1 |
LANから受信 |
172.25.0.0/24 |
0.0.0.0/0 |
ICMP |
* |
* |
通過 |
| 2 |
2 |
接続先1から受信 |
0.0.0.0/0 |
Nifty(PPP取得) |
ICMP |
* |
* |
通過 |
| 3 |
3 |
LANから受信 |
0.0.0.0/0 |
0.0.0.0/0 |
* |
135-139 |
* |
非通過 |
| 4 |
4 |
LANから受信 |
0.0.0.0/0 |
0.0.0.0/0 |
* |
* |
135-139 |
非通過 |
| 5 |
5 |
接続先1から受信 |
0.0.0.0/0 |
0.0.0.0/0 |
* |
135-139 |
* |
非通過 |
| 6 |
6 |
接続先1から受信 |
0.0.0.0/0 |
0.0.0.0/0 |
* |
* |
135-139 |
非通過 |
| 7 |
7 |
LANから受信 |
0.0.0.0/0 |
0.0.0.0/0 |
* |
445 |
* |
非通過 |
| 8 |
8 |
LANから受信 |
0.0.0.0/0 |
0.0.0.0/0 |
* |
* |
445 |
非通過 |
| 9 |
9 |
接続先1から受信 |
0.0.0.0/0 |
0.0.0.0/0 |
* |
445 |
* |
非通過 |
| 10 |
10 |
接続先1から受信 |
0.0.0.0/0 |
0.0.0.0/0 |
* |
* |
445 |
非通過 |
| 11 |
11 |
接続先1から受信 |
10.0.0.0/8 |
0.0.0.0/0 |
* |
* |
* |
非通過 |
| 12 |
12 |
接続先1から受信 |
172.16.0.0/12 |
0.0.0.0/0 |
* |
* |
* |
非通過 |
| 13 |
13 |
接続先1から受信 |
192.168.0.0/16 |
0.0.0.0/0 |
* |
* |
* |
非通過 |
| 14 |
14 |
接続先1へ送信 |
0.0.0.0/0 |
10.0.0.0/8 |
* |
* |
* |
非通過 |
| 15 |
15 |
接続先1へ送信 |
0.0.0.0/0 |
172.16.0.0/12 |
* |
* |
* |
非通過 |
| 16 |
16 |
接続先1へ送信 |
0.0.0.0/0 |
192.168.0.0/16 |
* |
* |
* |
非通過 |
| 17 |
17 |
接続先1から受信 |
0.0.0.0/0 |
Nifty(PPP取得) |
TCP-SYN |
ftpdata |
* |
通過 |
| 18 |
18 |
接続先1から受信 |
0.0.0.0/0 |
Nifty(PPP取得) |
TCP-SYN |
* |
ftp |
通過 |
| 19 |
19 |
接続先1から受信 |
0.0.0.0/0 |
Nifty(PPP取得) |
TCP-SYN |
* |
4000-4029 |
通過 |
| 20 |
20 |
接続先1から受信 |
0.0.0.0/0 |
Nifty(PPP取得) |
TCP-SYN |
* |
www |
通過 |
| 21 |
21 |
接続先1から受信 |
0.0.0.0/0 |
Nifty(PPP取得) |
TCP-SYN |
* |
pop3 |
通過 |
| 22 |
22 |
接続先1から受信 |
0.0.0.0/0 |
Nifty(PPP取得) |
TCP-SYN |
* |
smtp |
通過 |
| 32 |
32 |
接続先1から受信 |
0.0.0.0/0 |
0.0.0.0/0 |
TCP-SYN |
* |
* |
非通過 |
Network Address = 172.25.0.0, Subnet Mask = 255.255.255.0の場合。
telnet, sshは、使いたかったのですがセキュリティーに自信がないので止めた。
通過は狭く、非通過は広くなるよう、見直しました(2001.11.06)。
- 1-2番は、LAN内のClientがpingを使うための設定。
- 3-10番は、SMB系のサービスが外部に出る/外部から入って来るのを防いでいる。
- 11-16番は、外部からプライベートアドレスが入ってくる/外部にプライベートアドレス出るのを防いでいる。
- 17番は、LAN内のClientがFTP Portモードを利用するための設定。
- 18-22番は、インターネットに公開するサービスの許可。
19番は、FTPのPassiveモード用(ProFTPDの設定で指定)。
- 32番は、公開するのを許可したサービス以外の拒否。
また、大量のPINGによる攻撃を防ぐため、「アクセス制限設定」でWAN側からのPINGに応答しないように設定(不作法かもしれませんが)。
この設定をしても、NATアドレス変換を指定すればWWW,FTPは利用可能。
詳しい方のアドバイス、お待ちしています。
|
| 4. ADSL RouterのNATアドレス変換の設定 |
外部からの通信を、Linux Serverに転送するよう、NATテーブルを設定した。
TE4121Cでも、問題なく動いています。
| No. |
優先度 |
接続先の名称 |
LAN側IPアドレス |
ADSL側IPアドレス |
プロトコル |
ポート番号 |
| 1 |
1 |
接続先1(Nifty) |
172.25.0.2 |
自ADSL側アドレス |
TCP |
www |
| 2 |
2 |
接続先1(Nifty) |
172.25.0.2 |
自ADSL側アドレス |
TCP |
ftp |
| 3 |
3 |
接続先1(Nifty) |
172.25.0.2 |
自ADSL側アドレス |
TCP |
pop3 |
| 4 |
4 |
接続先1(Nifty) |
172.25.0.2 |
自ADSL側アドレス |
TCP |
smtp |
| 5 |
5 |
接続先1(Nifty) |
172.25.0.2 |
自ADSL側アドレス |
TCP |
4000-4029 |
172.25.0.2が、Linux Serverのアドレス。
- ftpdataをNATで転送していたが、不要なことに気づき訂正(2001.11.06)。
- 4000-4029はFTPのPassiveモード用(ProFTPDの設定で指定)。
詳しい方のアドバイス、お待ちしています。
|
| 5. Internetからのアクセステスト |
LAN内からアクセスすると、NAT変換が上手く動作しない。
(LAN内からアクセスすると、ADSL Routerの設定画面が出てしまう)。
NAT変換が上手く出来ているかは、ダイヤルアップ等で別途Internetに接続してブラウザから
http://IPアドレス/
にアクセスしてテストする必要がある。
自宅ServerでWebコンテンツを作る時は、Clientのhostsファイルに、
172.25.0.2 www.kkoba.com
を登録しておくと楽です。
Windows2000ではDNSより先に、hostsファイルを参照します。
|
|
