はじめに
初めてヤマハのルータを触ったので、備忘録的に。
ルータの設定については、今までは家庭用ルータ(バッ〇ァローとか)のWeb UIでしか設定したことがない人です。
やりたいこと
クローズドなネットワークと、インターネット系ネットワークをセキュアに接続したい。
クローズドなネットワークから、特定のWebサイトだけを見えるようにしたい。
インターネットに接続する端末のみ、デフォルトゲートウェイの設定を変更することで
外に出られるようにできればいいな。
動作確認環境、使用ライブラリ等
- YAMAHA RTX810
- シリアルケーブル
- 検証用端末 何台か
設定内容
マニュアルもリファレンスも玄人向けな感じでちょっと面食らいつつも、
手探りで作り上げたconfigは以下の通り。
- クローズドなネットワーク: 192.168.11.0/24
- ゲートウェイ: 192.168.11.254
- 外に出たいPCのIP: 192.168.11.25
- ルータのIP: 192.168.11.2(LAN2)
- インターネット系ネットワーク: 192.168.100.0/24
- ゲートウェイ: 192.168.100.1
- ルータのIP: 192.168.100.2(LAN1)
- 接続先IPアドレス: 61.45.247.29 (jp.yamaha.com)
config
# RTX810 Rev.11.01.28 (Thu Sep 29 16:07:20 2016)
# MAC Address :
# Memory 128Mbytes, 2LAN
# main: RTX810 ver=00 serial= MAC-Address= MAC-Address=
# Reporting Date: Mar 29 18:44:55 2017
administrator password *
timezone +09:00
console character ascii
ip route default gateway 192.168.100.1
ip lan1 address 192.168.11.2/24
ip lan2 address 192.168.100.2/24
ip lan2 secure filter in 21999
ip lan2 secure filter out dynamic 220001 220002
ip lan2 nat descriptor 1
ip filter 21999 reject * *
ip filter dynamic 220001 192.168.11.25 61.45.247.29 www
ip filter dynamic 220002 * * domain
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.100.2
nat descriptor address inner 1 192.168.11.1-192.168.11.254
dns service recursive
dns server 192.168.100.1
簡単な解説
設定内容については、ヤマハの設定例を参考にした。
ローカルルーターで複数のLANを接続(片方向の通信 / 動的IPマスカレード) : コマンド設定
基本設定
- インターフェイス LAN1(クローズ側)、LAN2(インターネット側)のIPアドレス、デフォルトゲートウェイを設定。
- DNSリカーシブモード(リレーおよびキャッシュ)で動作させる。
- インターネット側(LAN2)にIPマスカレードを設定する。
- 上位のDNSサーバを指定。
- タイムゾーンを指定。
- 管理者パスワードを指定。
- コンソールの文字コードを指定。
フィルタリング設定
- インターネット側(LAN2)からのインバウンドパケットは全て破棄。
- クローズネット側(LAN1)から、特定のIPアドレスから特定のIPアドレスに対するWebアクセスは通す(ダイナミック)。
- クローズネット側(LAN1)から、任意のDNS問い合わせは通す(ダイナミック)。
動作確認
- インターネット系から、自由にインターネットへ出られることを確認。
- インターネット系から、ルータのLAN2インターフェイスにポートスキャンをかけて、ポートが開いていないことを確認。
- クローズネット側の192.168.11.50(外に出したくない端末)のデフォルトゲートウェイをルータに設定した上で…
- インターネット上のWebサーバに対し、HTTP/HTTPSアクセスできないことを確認。
- インターネット系のFTPサーバに対し、FTP接続できないことを確認。
- クローズネット側の192.168.11.25(外に出したい端末)のデフォルトゲートウェイをルータに設定した上で…
- インターネット上の特定のIPを持つWebサーバ(jp.yamaha.com:61.45.247.29)に対し、HTTPアクセスできることを確認。
- その他のIPを持つWebサーバに対するHTTP/HTTPSアクセスができないことを確認。
- インターネット系のFTPサーバに対し、FTP接続できないことを確認。
所感
Webからも設定ができるけど、コマンド入力で苦しんだ方が身になるかなと。
最初は うぇっ… と思ったけども、なんとなく分かった気がしてる。
これまずいんじゃね? こうした方がいいんじゃね? など、アドバイスを頂ければ幸いであります。