技術メモ - ルータ編

MN128-SOHOシリーズでセキュリティを上げる
　フレッツ・ISDNなどの普及で、常時接続する機会が多くなってきました。常時接続は非常に便利ですが、同じIPアドレスを使い続けることが多いため、クラック(*1)される危険性が高くなります。
　少しでもセキュリティーを上げるために不必要なパケットは受けないようにしましょう。僕は、以下のフィルタを設定しています。


ip filter 1 restrict in * * tcp * www remote *

ip filter 2 restrict in * * tcp * 113 remote *

ip filter 3 restrict in * * tcp * 2201-2399 remote *

ip filter 4 restrict in * * tcp * 4401-4599 remote *

ip filter 5 restrict in * * tcp * 24082 remote *

ip filter 6 restrict in * * tcp 2201-2399 5000-30000 remote *

ip filter 7 restrict in * * udp 4000 * remote *

ip filter 17 restrict in * * tcp 443 * remote *

ip filter 18 restrict in * * tcp 2064 * remote *

ip filter 19 restrict in * * tcp nntp * remote *

ip filter 20 restrict in * * tcp telnet * remote *

ip filter 21 restrict in * * tcp ftpdata-ftp * remote *

ip filter 22 restrict in * * icmp * * remote *

ip filter 23 restrict in * * udp domain * remote *

ip filter 24 restrict in * * tcp smtp * remote *

ip filter 25 restrict in * * tcp pop3 * remote *

ip filter 26 restrict in * * tcp www * remote *

ip filter 27 restrict in * * tcp 8080 * remote *

ip filter 28 restrict out * * tcpfin * * remote *

ip filter 29 restrict out * * * * 137-139 remote *

ip filter 30 restrict out * * * 137-139 * remote *

ip filter 31 restrict out * * udp 137 domain remote *

ip filter 32 reject in * * * * * remote *

1	ローカルのWebサーバを公開する場合に必要。
2	メールの送受信で必要な場合がある。
3～7	ICQを使用するときに必要。
17	保護されたページを見るときに必要。
18	distributed.netの牛さんを飼っているときに必要。
19	ネットニュースを見るときに必要。
20	telnetを使用する場合に必要。
21	ftpを使用する場合に必要。
22	tracerouteを使用する場合に必要。
23	ドメインネームサーバを使用する場合に必要。
24,25	メールの送受信で必要。
26	Webページを見るときに必要。
27	プロクシサーバを使用するときに必要(プロクシサーバのポートが8080の場合)。
28～31	Windows用のパケットで自動接続しないために必要(常時接続の場合は必要ないが、一応残している)。
32	上記条件(1～27)に当てはまらないパケットをすべて破棄するために必要。この設定により上記条件が生きる。

上記以外のパケットを受けるには？
　MN128-SOHOシリーズのSYSLOGの設定で、「NOTICE」の項目をチェックしておくと、パケットを破棄した場合に、
Nov 3 09:11:00 mn128-soho IP#2: rx filtered TCP from 210.130.0.14/110 to 192.168.0.3/4310
の様なSYSLOGが出力されます。これは、「210.130.0.14のマシンの110ポートから192.168.0.3のマシンの4310ポートへのTCPプロトコルのパケットを破棄した」と言う意味です。このパケットのみを通す設定は、
ip filter 1 restrict in 210.130.0.14 192.168.0.3 tcp 110 4310 remote *
になります。しかし、送信先アドレスが192.168.0.3とは限らないでしょうし、送信先ポート番号は毎回4310ではないでしょうし、送信元アドレスも210.130.0.14からだけとは限らないでしょう。この場合、現実的な設定だと、
ip filter 1 restrict in * * tcp 110 * remote *
になるでしょう。実際は、何パターンかのログを取って、いつも同じになるところだけを記述すると良いでしょう。

2000/11/08

[技術メモへ]