http://www.rtpro.yamaha.co.jp/RT/docs/firewall/
親切なんだけど、なんとなく分かりにくいYamahaのドキュメント……。
このドキュメントを読んだ時のメモ。NVR500しか持ってないので、それでしか検証していない。
IPマスカレード
22番をそのまま使うと辞書攻撃みたいなのでログが埋まって鬱陶しいので、8888番とかに変更する。が、サーバー側も8888番とかにすると、今度はSELinuxがうるさいので、サーバー側は22番にしたい。こういう時には、IPマスカレードのポートに
8888=22
という書き方ができて、こうすると8888番への接続は22番へNAPTされる。NAPTって書いて欲しい。IPマスカレードってあまり周りでは聞くことが少ない単語なんですが……。宗教的な話ですかね……。
静的フィルタ
プロトコルに
tcpflag=0x0002/0x0017
と書くことができる。これでセッション開始時のパケットだけを許可、というルールが書ける。TCPパケットのヘッダの、SYNとSYN/ACKのビットが立っている、という話。
動的フィルタ
SSHというサービスが選べる。たぶん一定以上のリビジョンでのみ。無ければリビジョンアップしたほうがいいと思う。
まとめ
最初のが通れば、あとは動的フィルタがうまいこと戸を開け閉めしてくれる、というわけ。iptablesでもおんなじ感じで書いたような記憶がある。