PCリンクスでは、パソコンの設定・修理から組込み機器の受託開発まで承ります。

 

VPNルーターのパケットフィルタ設定

前回の記事で、PPTPとL2TP/IPsecを使用した、VPN接続設定が完了しました。

4回目の今回は、VPNルーターへ基本的なフィルタを設定します。
※ファイアウォールに穴を開けて、PPTP,L2TP/IPsecのパケット(IN)を、通過させるようにします。

RTX1100のフィルタ設定の初期値は、インターネットへのパケット(OUT)はすべて許可し、インターネットからのパケット(IN)は、すべて拒否するという設定になっています。

VPNルーターにVPN設定を行った場合、必ず、フィルタ設定を行うことになります。
フィルタ設定は、1つでもフィルタを設定すると、フィルタ設定に当てはまらないパケットは、すべて破棄されてしまいますので、きっちりと、フィルタを設定しなければなりません。

設定は、”ip filter” コマンドを使用して、1つずつ設定していきます。

firewall 011 VPNルーターのフィルタ設定

通信方向 フィルタ
番号
タイプ 送信元
IPアドレス
宛先
IPアドレス
プロトコル 送信元
ポート番号
宛先
ポート番号
LAN -> WAN
(OUT)
100 許可
(pass)
すべて
(*)
すべて
(*)
すべて
(*)
すべて
(*)
すべて
(*)
WAN -> LAN
(IN)
200 拒絶
(reject)
すべて
(*)
すべて
(*)
すべて
(*)
すべて
(*)
すべて
(*)

 

LAN側のフィルタ設定

最初は、LAN側のパケットフィルタを設定します。
LAN側のnetbios関係のパケットは、すべて破棄するように設定します。ログを取ると膨大になるので-nologを指定します。

 

firewall 021 VPNルーターのフィルタ設定

LAN側から出て行くパケットのフィルタ(IN)一覧を下表に示します。
※IN/OUTは、LAN側のインタフェース部からみた入出力を示します。LAN側からのパケットは、INで指定したフィルタが適用されます。

通信方向 フィルタ
番号
タイプ 送信元
IPアドレス
宛先
IPアドレス
プロトコル 送信元
ポート番号
宛先
ポート番号
LAN -> WAN
(IN)
1 reject-nolog * * udp,tcp 135 *
IN 2 reject-nolog * * udp,tcp * 135
IN 3 reject-nolog * * udp,tcp netbios_ns
netbios_dgm
*
IN 4 reject-nolog * * udp,tcp * netbios_ns
netbios_dgm
IN 5 reject-nolog * * udp,tcp netbios_ssn *
IN 6 reject-nolog * * udp,tcp * netbios_ssn
IN 7 reject-nolog * * udp,tcp 445 *
IN 8 reject-nolog * * udp,tcp * 445
IN 99 pass * * * * *

 

LAN側のパケットフィルタを設定します。# で始まる行はコメント行です。

[RTX]# ip lan1 secure filter in 1 2 3 4 5 6 7 8 99

# DCE準拠のRPC(remote procedure call) の意図しない発呼を破棄するフィルタ
[RTX]# ip filter 1 reject-nolog * * udp,tcp 135 *
[RTX]# ip filter 2 reject-nolog * * udp,tcp * 135

# Windows のnetbiosパケットを破棄するフィルタ
[RTX]# ip filter 3 reject-nolog * * udp,tcp netbios_ns-netbios_dgm *
[RTX]# ip filter 4 reject-nolog * * udp,tcp * netbios_ns-netbios_dgm
[RTX]# ip filter 5 reject-nolog * * udp,tcp netbios_ssn *
[RTX]# ip filter 6 reject-nolog * * udp,tcp * netbios_ssn

# Microsoft DSパケットを破棄するフィルタ
[RTX]# ip filter 7 reject-nolog * * udp,tcp 445 *
[RTX]# ip filter 8 reject-nolog * * udp,tcp * 445

# 上記以外は、すべて許可するフィルタ
[RTX]# ip filter 99 pass * * * * *

 

WAN側のフィルタ設定

パケットのフィルタリング動作は、指定したフィルタ番号の順に適用され、合致しなかったパケットは次のフィルタで照合され、さらに、次にのフィルタで合致しなかったら、また次のフィルタへと進んでいきます。どれにも合致せずに最後まで到達したパケットは、破棄されます。その為、最後にパケットを通過させるフィルタを入れておく必要があります。

 

firewall 03 VPNルーターのフィルタ設定

WAN側から入ってくるパケットのフィルタ(IN)一覧を下表に示します。
※IN/OUTは、WANインタフェース部からみたパケットの入出力を示します。WAN側からのパケットは、INで指定したフィルタが適用されます。

通信方向 フィルタ
番号
タイプ 送信元
IPアドレス
宛先
IPアドレス
プロトコル 送信元
ポート番号
宛先
ポート番号
WAN -> LAN
(IN)
50 reject 10.0.0.0/8 * * * *
IN 51 reject 172.16.0.0/12 * * * *
IN 52 reject 192.168.0.0/16 * * * *
IN 53 reject 192.168.0.0/24 * * * *
IN 54 reject * 61.206.xxx.xxx tcp,udp * telnet
IN 60 pass * 192.168.0.0/24 icmp * *
IN 61 pass * 192.168.0.0/24 tablished * *
IN 62 pass * 192.168.0.0/24 tcp * ident
IN 63 pass * 192.168.0.0/24 tcp ftpdata *
IN 64 pass * 192.168.0.0/24 udp domain *
IN 68 pass * 192.168.0.1 gre * *
IN 69 pass * 192.168.0.1 tcp * 1723
IN 70 pass * 192.168.0.1 esp * *
IN 71 pass * 192.168.0.1 udp * 500
IN 72 pass * 192.168.0.1 udp * 1701
IN 73 pass * 192.168.0.1 udp * 4500

 

WAN側から入ってくるパケットのフィルタ(IN)を設定します。# で始まる行はコメント行です。

[RTX]# pp select 1
[RTX]pp1# ip pp secure filter in 50 51 52 53 54 60 61 62 63 64 68 69 70 71 72 73 98
[RTX]pp1# pp select none

# IN側パケットフィルタ設定
# プライベートアドレス (クラスA,B,Cとローカルネットワーク) からのパケットを拒絶するフィルタ
[RTX]# ip filter 50 reject 10.0.0.0/8 * * * *
[RTX]# ip filter 51 reject 172.16.0.0/12 * * * *
[RTX]# ip filter 52 reject 192.168.0.0/16 * * * *
[RTX]# ip filter 53 reject 192.168.0.0/24 * * * *

# pc-links.com宛のtelnetを拒絶するフィルタ
[RTX]# ip filter 54 reject * 61.206.xxx.xx tcp,udp * telnet

# ローカルネットワーク宛のICMPパケットを通す(許可)ようにするフィルタ (pingコマンドで使う)
[RTX]# ip filter 60 pass * 192.168.0.0/24 icmp * *

# establishedな通信を通すようにするフィルタ(内から外へはtelnet等を許可し、外から内へは拒否)
[RTX]# ip filter 61 pass * 192.168.0.0/24 established * *

# メールサーバやFTPサーバなどでidentによりユーザ情報確認が行うことを許可するフィルタ
[RTX]# ip filter 62 pass * 192.168.0.0/24 tcp * ident

# ローカルネットワーク(192.168.0.0/24)からFTPのPORT型(サーバからの接続)を許可するフィルタ
[RTX]# ip filter 63 pass * 192.168.0.0/24 tcp ftpdata *

# DNSに関する問い合せ(DNSサーバからの応答)を通過させるフィルタ
[RTX]# ip filter 64 pass * 192.168.0.0/24 udp domain *

#ルーター宛のGREプロトコルを許可するフィルタ
[RTX]# ip filter 68 pass * 192.168.0.1 gre * *

#ルーター宛のPPTPプロトコル (tcp,ポート1723番) を許可するフィルタ
[RTX]# ip filter 69 pass * 192.168.0.1 tcp * 1723

#ルーター宛のGESPプロトコルを許可するフィルタ
[RTX]# ip filter 70 pass * 192.168.0.1 esp * *

#ルーター宛のIKE (udp,500番と1701番) を許可するフィルタ
[RTX]# ip filter 71 pass * 192.168.0.1 udp * 500
[RTX]# ip filter 72 pass * 192.168.0.1 udp * 1701

#ルーター宛のNAT Traversal (udp,4600番) を許可するフィルタ
[RTX]# ip filter 73 pass * 192.168.0.1 udp * 4500

# すべてのパケットを拒絶するフィルタ
[RTX]# ip filter 98 reject-log * * * * *

 

WANへ出て行くパケットのフィルタ(OUT)一覧を下表に示します。

※IN/OUTは、WANインタフェース部からみたパケットの入出力を示します。WAN側へのパケットは、OUTで指定したフィルタが適用されます。

通信方向 フィルタ
番号
タイプ 送信元
IPアドレス
宛先
IPアドレス
プロトコル 送信元
ポート番号
宛先
ポート番号
LAN -> WAN
(OUT)
10 reject * * udp,tcp 135 *
OUT 11 reject * * udp,tcp * 135
OUT 12 reject * * udp,tcp netbios_ns
netbios_ssn
*
OUT 13 reject * * udp,tcp * netbios_ns
netbios_ssn
OUT 14 reject * * udp,tcp 445 *
OUT 15 reject * * udp,tcp * 445
OUT 30 reject * 10.0.0.0/8 * * *
OUT 31 reject * 172.16.0.0/12 * * *
OUT 32 reject * 192.168.0.0/16 * * *
OUT 33 reject * 192.168.0.0/24 * * *
OUT 88 pass * 203.141.128.35 udp 10000-19999 domain
OUT 99 pass * * * * *

 

WANへ出て行くパケットフィルタ(OUT)を設定します。

# OUT側パケットフィルタを適用
[RTX]# pp select 1
[RTX]pp1# ip pp secure filter out 1 2 3 4 5 6 7 8 30 31 32 33 88 89 99
[RTX]pp1# pp select none

# プライベートアドレス(クラスA,B,Cとローカルネットワーク) 宛てのパケットを拒絶するフィルタ
[RTX]# ip filter 30 reject * 10.0.0.0/8 * * *
[RTX]# ip filter 31 reject * 172.16.0.0/12 * * *
[RTX]# ip filter 32 reject * 192.168.0.0/16 * * *
[RTX]# ip filter 33 reject * 192.168.0.0/24 * * *

# DNS キャッシュ ポイズニング対策用のフィルタ(ISP宛のDNSパケットを許可)
[RTX]# ip filter 88 pass * 203.141.128.35 udp 10000-19999 domain

# ローカルネットワーク(192.168.0.0/24)からのすべてのtcp,updパケットを許可するフィルタ
[RTX]# ip filter 89 pass 192.168.0.0/24 * tcp,udp * *

# すべてのパケットを許可するフィルタ
[RTX]# ip filter 99 pass * * * * *

 

動的フィルタ設定

最後に、動的(ダイナミック)フィルタを設定します。
動的フィルタは、通信状態に合わせてパケットを通したり、遮断したりすることができるフィルタです。

動的フィルタを設置する場合、静的フィルタを併用する必要がありますので注意します。

WAN側のOUTに動的フィルタを設定した場合、逆方向(IN)のパケットに対する、通過フィルタが動的に生成されますので、それ以外のパケットを遮断するためには、98番の静的フィルタの設定が必要となります。

[RTX]# pp select 1
[RTX]pp1# ip pp secure filter in 50 51 52 53 54 60 61 62 63 64 65 66 67 68 69 70 71 72 73 98 dynamic 200 201 202
[RTX]pp1# ip pp secure filter out 1 2 3 4 5 6 7 8 30 31 32 33 88 89 99 dynamic 100 101 102 103 104 105 106 107
[RTX]pp1# pp select none

[RTX]# ip filter 98 reject * * * * *

[RTX]# ip filter dynamic 100 * * ftp
[RTX]# ip filter dynamic 101 * * www
[RTX]# ip filter dynamic 102 * * domain
[RTX]# ip filter dynamic 103 * * smtp
[RTX]# ip filter dynamic 104 * * pop3
[RTX]# ip filter dynamic 105 * * telnet
[RTX]# ip filter dynamic 106 * * tcp
[RTX]# ip filter dynamic 107 * * udp
[RTX]# ip filter dynamic 200 * 192.168.0.26 smtp
[RTX]# ip filter dynamic 201 * 192.168.0.26 www
[RTX]# ip filter dynamic 202 * 192.168.0.26 ftp

 

その他のフィルタ設定

VPNルーターが標準で装備している”不正アクセス検知フィルタ”と”Winny検知フィルタ”をONします。

# source-routeオプション付きIPパケットをルーティングしないようにするフィルタ
[RTX]# ip filter source-route on

# smurf attackから守るためのフィルタ
[RTX]# ip filter directed-broadcast on

# Winny フィルタと不正アクセス検知をONする。
[RTX]# pp select 1
[RTX]pp1# ip pp intrusion detection in on reject=off
[RTX]pp1# ip pp intrusion detection out on reject=off
[RTX]pp1# ip pp intrusion detection out winny on reject=on
[RTX]pp1# ip pp intrusion detection out default off
[RTX]pp1# pp select none

 

最後に、設定を保存して終了します。

[RTX]# save
セーブ中... CONFIG0 終了

 

以上で、「VPNルーターのパケットフィルタ設定」を終了します。

コメント

コメントを受け付けておりません。