このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

MN128 SOHOのip filterの設定

発言者:貞広正則
( Date Tuesday, March 20, 2001 00:40:25 )


色々試してみたのですが、MN128 SOHOのip filterの設定を
することが出来ないでいます。
 
ip filter 1 pass in * * * 548 * remote *
ip filter 3 reject in * * * * * remote *
ip filter 4 pass out * * * * 548 remote *
ip filter 6 reject out * * * * * remote *
ip filter 30 reject in * 61.119.50.193/32 tcpest * * remote 0
ip filter 31 reject in * * tcpest * * remote 0
ip filter 32 reject out * * udp route route remote 0
ip route 0.0.0.0/0/7 remote 0 static

見よう見まねで、上のようにしてみたのですが、AFPが出来ません。
ip filter 31 reject in * * tcpest * * remote 0の行を削除すれば
通るのですが、どこがいけないのかが判りません。

メールサーバは使わないで、後のファイル共有、660番からリモートでの
サーバ管理、そしてWebサービスを使うにはどのようにフィルタを設定
すればいいのでしょうか。

hiroyuki さんからのコメント
( Tuesday, March 20, 2001 05:08:16 )

私もルーター設定ではまる人間ななのでうまく説明できませんが
こちらのBUGのページはご覧になりましたか?
各種設定例がたくさんあります。

http://www.bug.co.jp/mn128/index.html

貞広正則 さんからのコメント
( Tuesday, March 20, 2001 08:07:08 )

hiroyukiさん、有り難うございます。

>私もルーター設定ではまる人間ななのでうまく説明できませんが
>こちらのBUGのページはご覧になりましたか?
>各種設定例がたくさんあります。

>http://www.bug.co.jp/mn128/index.html

しかし、色々と探してみたのですが、特定のポートを開く
ip filterの設定例が書かれている場所を見つけること
が出来ませんでした。

その場所を教えていただけると有り難いのですが。

A_齋藤 さんからのコメント
( Tuesday, March 20, 2001 08:33:08 )

私も苦労しました。フィルターの設定はやはり最低限の知識が必要です。
MN128 の場合、リファレンス・ハンドブックに基礎知識が記述してあり
ます。また下記のページからのリンクで設定法やサンプルも参照できま
す。(一度設定してしまうのしばらくは用無しなのですぐ忘れてしまい
ます。)

ip filter 【フィルター番号:1〜32】
     【フィルターのタイプ:reject/pass】
     【方向:in/out】
     【送信元:サブネットマスク/IPアドレス】
     【送信先:サブネットマスク/IPアドレス】
     【プロトコル ポート番号/ニーモーニック(udp、tcp etc)】
     【送信元:ポート番号/ニーモニック(ftp、www etc)】
     【送信先:ポート番号/ニーモニック(ftp、www etc)】
     【接続側:local/remote】
     【相手側登録番号:0〜15】

MN128 では原則として通過させるパケットをまず記述し、最後にそれ以
外のパケットを全て拒絶するような設定になります。

上記では ip filter 3 reject in * * * * * remote *
でまず全てのパケットの流入が拒絶されてしまっています。

→  MN128

貞広正則 さんからのコメント
( Tuesday, March 20, 2001 09:18:59 )

> ip filter 【フィルター番号:1〜32】
>      【フィルターのタイプ:reject/pass】
>      【方向:in/out】
>      【送信元:サブネットマスク/IPアドレス】
>      【送信先:サブネットマスク/IPアドレス】
>      【プロトコル ポート番号/ニーモーニック(udp、tcp etc)】
>      【送信元:ポート番号/ニーモニック(ftp、www etc)】
>      【送信先:ポート番号/ニーモニック(ftp、www etc)】
>      【接続側:local/remote】
>      【相手側登録番号:0〜15】
> 
>> ip filter 1 pass in * * * 548 * remote *
>> ip filter 3 reject in * * * * * remote *
> 上記では ip filter 3 reject in * * * * * remote *
> でまず全てのパケットの流入が拒絶されてしまっています。
ip filter 1 pass in * * * 548 * remote *でパケットを
通していることにはなっていないんでしょうか?

***********
ip filter 1 pass in * * * 80 * remote *{Webサービス}
ip filter 2 pass in * * * 53 * remote *{DNS}
ip filter 3 reject in * * * * * remote *
ip filter 4 pass out * * * * 80 remote *
ip filter 5 pass out * * * * 53 remote *
ip filter 6 reject out * * * * * remote *
***********
参考書で見つけた上の例を参考にして書いたのですが、この例も
よく分かっていません。

{in}のフィルター1ですが、送信元がポート80番で送信先はどこでも
いい、ということと理解しているのですが、
ip filter 1 pass in * * * 80 80 remote *と書けないのでしょうか。
素人考えでは、その方が安全なように思えるのですが。



くろ。 さんからのコメント
( Wednesday, March 21, 2001 08:21:48 )

|ip filter 1 pass in * * * 80 80 remote *と書けないのでしょうか。

送信元ポート番号80から送信先ポート番号80だとしたら,WWWサーバー同士の通信となります.
WWWとWWWが通信ということは滅多にないですよね.
WWWは通常,ユーザーの動的ポート番号[49152-65535]からポート番号80への通信のことだと思います.
もし,MN128シリーズ[slotin, PAL]を使用しているなら,NTT−MEより提供されている「syslogトリ」を使用してみると通信の内容が良くわかります.

私もネットワーク初心者なもので,発言内容に間違いがありましたらご指摘よろしくお願いします.

→  syslogトリ

松谷隆績 さんからのコメント
( Wednesday, March 21, 2001 17:06:25 )

私も良くは分からないで設定しているのですが、
ip filter 2 pass in * * tcp * 548 remote 0
これで通過してます。
最後のところで、
ip filter 31 reject in * * tcpest * * remote 0
でpass以外を拒絶しているのですから、
ip filter 3 reject in * * * * * remote *
これは不要なのではないでしょうか?

ip filter 1 pass in * * tcp * pop3 remote 0
ip filter 2 pass in * * tcp * 548 remote 0
ip filter 5 pass in * * tcp * www remote 0
ip filter 6 pass in * * tcp * 443 remote 0
ip filter 7 pass in * * tcp * smtp remote 0
ip filter 8 pass in * * tcp * domain remote 0
ip filter 9 pass in * * udp * domain remote 0
ip filter 10 pass in * * tcp * 113 remote 0
ip filter 11 pass in * * tcp * 591 remote 0
ip filter 14 pass in * * icmp * * remote 0
ip filter 15 pass in * * tcp * ntp remote 0
ip filter 16 pass in * * udp * ntp remote 0
ip filter 17 pass in * * tcp * nntp remote 0
ip filter 30 reject in * * tcpest * * remote 0
ip filter 31 reject out * * udp route route remote 0
ip filter 32 reject in * * * * * remote 0
ip route 0.0.0.0/0/7 remote 0 static

これで間違って無いかと言われると自信は無いけど、
一応問題なく動いてはいます。


貞広正則 さんからのコメント
( Thursday, March 22, 2001 23:43:29 )

松谷さん、有り難うございます。

ip filterの設定での最初のつまずきはこれですね。
 ip filter 1 pass in * * * 548 * remote *
これを見たときに、発信側ポートで制御するものなのかと、変だとは
思ったのですが、そう考えてしまったところに、よけいに混乱をして
しまった原因がありました。

私は、スパムメール対策に自信がないので、Webサービスとファイルサービス
のみでスタートすることにしました。

 ip filter  1 pass    in * 61.119.50.194/32 *      *     www    remote 0
 ip filter  2 pass    in * 61.119.50.194/32 *      *     domain remote 0
 ip filter  3 pass    in * 61.119.50.194/32 *      *     548    remote 0
 ip filter  4 pass    in * 61.119.50.194/32 *      *     660    remote 0
 ip filter 31 reject  in * 61.119.50.194/32 tcpest *     *      remote 0
 ip filter 32 reject out * *                udp    route route  remote 0

これでうまくいきました。