LoginSignup
1
3

More than 1 year has passed since last update.

@buttyo_kuny

RTXルーターで、一方向からアクセスできるDMZを構築する

Last updated at Posted at 2020-12-27

概要

RTXルータを用いて、2つのセグメントを用意する。セグメント1は、内部用(一般利用用)セグメントで、セグメント2を、サーバー公開などを想定したセグメントとする。

セグメント1と2を疎通不可にするには、単純なIPフィルタを用いればよいが、メンテナンス性などを考えると、セグメント1→2への通信は許可し、セグメント2→1への通信はブロックしたいのが人情。この要件を満たすには、動的フィルタの理解が必要になる。

なんか過去にもやったな....とおもったら、過去にもやっていた。
https://qiita.com/buttyo_kuny/items/b3fe5e47d2954b91ddb6

参考

このサイトの解説が詳しいし、そのまんま書いてある。しかし理解に時間がかかったので自分でもまとめることにした。(追記:まずはこのURLを読んでみるといいというか、この記事いらないんじゃないかというか)
https://karasuma-kitaoji.hatenablog.com/entry/2017/05/31/014000
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ip/ip_filter_dynamic.html

動的フィルタ?

動的フィルタとは、静的フィルタを組み合わせるものである。とある通信条件にマッチするパケットが出現したとき、自動的に現れるフィルタのことである。

ちょっと難しいけど、特定の条件下の時だけ、静的フィルタを緩めてパケットを通す例外設定みたいなイメージ。

想定環境

NVR510とRTX1200を用いて、NVR510にセグメント1、RTX1200にセグメント2が割り当ててある場合を考える。
NVR510のlan1とRTX1200のlan3が互いに接続されており、ripでルーティング情報を交換している。RTX1200のlan1をサーバー公開セグメント(セグメント2)とする。このとき、NVR510配下のクライアントから、RTX1200のセグメント2へ通信できるが、逆はできないように設定したい。Pingは許可する。

NVR510

  • lan1 192.168.50.1/24 (セグメント1)

RTX1200

  • lan1 192.168.50.2/24 (セグメント1)
  • lan3 192.168.51.1/24 (セグメント2)

接続許可リスト(tcp/udp)

許/不許可
192.168.50.0/24 192.168.51.1/0 許可
192.168.51.0/24 192.168.50.0/24 不許可
※icmpは許可とする

設定

フィルタ設定は、NVR510のlan1にセットする。
まず、単純に許可・不許可のフィルタをセットする。

ip filter 600000 pass * * icmp
ip filter 600002 reject 192.168.51.0/24 192.168.50.0/24
ip filter 600003 pass 192.168.50.0/24 192.168.51.0/24
ip filter 600004 pass * * * * *

※下記で定義する動的フィルタはtcp/udpにしか働かないので、icmpの許可は明示的に書いていく必要がある。

このままでは、192.168.50.0/24→50.1/24宛ての戻りパケットがフィルタによって破棄されてしまう。そこで、戻りパケットを許可する動的フィルタをセットする。

ip filter dynamic 300000 192.168.50.0/24 192.168.51.0/24 tcp
ip filter dynamic 300001 192.168.50.0/24 192.168.51.0/24 udp

最後に、lan1に適用する。

ip lan1 secure filter in 600000 600002 600003 600004
ip lan1 secure filter out 600000 600004 dynamic 300000 300001

まとめ

  • 動的フィルタを用いると、静的フィルタで設定しきれないフィルタを定義することができる。
  • 動的フィルタでは、一方向の通信と、その戻りパケットを許可するフィルタを定義することができる。
  • 例えば、公開サーバーセグメントや、サポート対象外OSを稼働させるセグメントとの通信に応用することが考えられる。
  • 今回の想定例では、2台のルータを用いたが、1台のルータ内にVlanを切って、同様のフィルタを定義することもできる。参考URLでは、vlanに対してフィルタを定義している。
1
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
3