LoginSignup
3
5

More than 5 years have passed since last update.

@qunaud(アザレア クナウド)

続1:RTX1200買った話

Last updated at Posted at 2016-10-16

前回より

コンフィグちょこちょこいじりました
主にフィルターとssh周りの設定追加

コンフィグ説明

適当に区切ってコメントで説明

基本設定
login password encrypted * #コンソールログインパス
administrator password encrypted * #管理者パス
login user qunaud * #sshログインユーザー
user attribute qunaud administrator=on connection=serial,remote,ssh,http login-timer=300 multi-session=on host=any
#どの権限でログインさせるか、管理者許可、シリアル、ssh,httpログイン可,ログインタイマー300s、マルチセッション可、ホスト不特定
login timer 600 #ログインタイマー600s
ip routing process fast #ファストパス有効
Vlan設定
ip route default gateway pp 1 #デフォルトゲートウェイ指定
vlan port mapping lan1.1 vlan1 #Vlanをそれぞれのポートに振り分け
vlan port mapping lan1.2 vlan1
vlan port mapping lan1.3 vlan1
vlan port mapping lan1.5 vlan2
vlan port mapping lan1.7 vlan3
vlan port mapping lan1.8 vlan3
lan type lan1 port-based-option=divide-network  #ポートVLan
ip vlan1 address 192.168.0.254/24 #Vlan1のアドレス指定
ip vlan1 proxyarp on #arpプロキシ指定
ip vlan1 secure filter in 100099 #フィルター指定
ip vlan1 wol relay broadcast #Wolパケット透過設定
ip vlan2 address 192.168.1.254/24 #Vlan2アドレス指定
ip vlan2 secure filter in 300002 300004 300001 100099 #フィルター指定
ip vlan3 address 192.168.10.254/24 #Vlan3アドレス指定
ip vlan3 secure filter in 100099 #フィルター指定
ip vlan3 wol relay broadcast #Wolパケット透過設定
PPPoE設定
pp select 1
 description pp PRV/PPPoE/0:OCN #説明文
 pp keepalive interval 30 retry-interval=30 count=12 #キープアライブ
 pp always-on on #常に有効
 pppoe use lan2 #使用ポート指定
 pppoe auto disconnect off #自動切断オフ
 pp auth accept pap chap #暗号化指定
 pp auth myname username password #接続ユーザー,パスワード
 ppp lcp mru on 1454 #MRU指定、PPPoEなので1454に
 ppp ipcp ipaddress on #グローバルIPアドレス自動取得
 ppp ipcp msext on #DNSサーバ自動取得
 ppp ccp type none #圧縮なし
 ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200038 200039 200032 1 200080 200081 200082
#in側フィルター設定
 ip pp secure filter out 200013 200014 200015 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099
#out側フィルター設定
 ip pp nat descriptor 1000 #NAT設定指定
 netvolante-dns use pp server=1 auto #ネットボランチDNS指定
 netvolante-dns hostname host pp server=1 qunaud.aa0.netvolante.jp #ネットボランチDNSホスト名設定
 pp enable 1 #pp1有効化
VPN設定
pp select anonymous
 pp name vpn #名前設定
 pp bind tunnel1-tunnel2 #トンネル指定、今回は2つ
 pp auth request mschap-v2 #暗号化指定
 pp auth username user1 pass1 #一人目
 pp auth username user2 pass2 #二人目
 ppp ipcp ipaddress on #IPアドレス自動取得
 ppp ipcp msext on #DNSサーバ自動取得
 ip pp remote address pool 192.168.0.128-192.168.0.191 #VPN割当アドレスプール
 ip pp mtu 1258 #MTU指定
 pp enable anonymous #有効化
tunnel select 1 #トンネル1の設定
 tunnel encapsulation l2tp #使用プロトコル
 ipsec tunnel 1 #IPSecのトンネル1
  ipsec sa policy 1 1 esp aes-cbc sha-hmac #IPSecの暗号化指定
  ipsec ike keepalive log 1 off #IKE KeepAlive log OFf
  ipsec ike keepalive use 1 off #IKE KeepAlive OFf
  ipsec ike nat-traversal 1 on # ipsecのnat超え設定
  ipsec ike pre-shared-key 1 text (共通キー) #IPSecの事前キー設定
  ipsec ike remote address 1 any #接続先を不特定に
 l2tp tunnel auth off #認証なし
 l2tp keepalive use on #l2tpKeepAlive有効
 ip tunnel tcp mss limit auto #msslimit自動
 tunnel enable 1 #トンネル1有効可
tunnel select 2 #トンネル2の設定
 tunnel encapsulation l2tp
 ipsec tunnel 2
  ipsec sa policy 2 2 esp aes-cbc sha-hmac
  ipsec ike keepalive log 2 off
  ipsec ike keepalive use 2 off
  ipsec ike nat-traversal 2 on
  ipsec ike pre-shared-key 2 text 0808
  ipsec ike remote address 2 any
 l2tp tunnel auth off 
 l2tp keepalive use on
 ip tunnel tcp mss limit auto
 tunnel enable 2
フィルター設定
ip filter 1 pass * 192.168.10.1 tcp * www,https #Webサーバーへのaccess許可
ip filter 101 pass * 192.168.0.255 udp * discard # 192.168.0.0/255へのudpすべて許可
ip filter 100099 pass * * * * * #すべてのpass
ip filter 200000 reject 10.0.0.0/8 * * * * #10./8へのリジェクト
ip filter 200001 reject 172.16.0.0/12 * * * * #172.16/16のリジェクト
ip filter 200002 reject 192.168.0.0/16 * * * * #192.168/16のリジェクト
ip filter 200003 reject 192.168.0.0/24 * * * * #192.168.0.0/24のリジェクト
ip filter 200004 reject 192.168.1.0/24 * * * * #192.168.1.0/24のリジェクト
ip filter 200005 reject 192.168.10.0/24 * * * * #192.168.10.0/24のリジェクト
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.0.0/24 * * *
ip filter 200014 reject * 192.168.10.0/24 * * *
ip filter 200015 reject * 192.168.10.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 * #135ポートリジェクト
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * #netbios関連リジェクト
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 * #SMBリジェクト
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp #http,ftp,nntpのtcpfin,rstリジェクト
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.0.0/24 icmp * * #192.168.0.0/24のicmp許可
ip filter 200031 pass * 192.168.0.0/24 established * * #established許可
ip filter 200032 pass * 192.168.0.0/24 tcp * ident #ident許可
ip filter 200033 pass * 192.168.0.0/24 tcp ftpdata * #ftpdata通信許可
ip filter 200034 pass * 192.168.0.0/24 tcp,udp * domain #dns通信許可
ip filter 200035 pass * 192.168.0.0/24 udp domain * 
ip filter 200036 pass * 192.168.0.0/24 udp * ntp #ntp許可
ip filter 200037 pass * 192.168.0.0/24 udp ntp *
ip filter 200038 pass * 192.168.1.0/24 icmp * * #1.0のicpm許可
ip filter 200039 pass * 192.168.10.0/24 icmp * * 
ip filter 200080 pass * 192.168.0.254 esp * * #vpn周りの許可
ip filter 200081 pass * 192.168.0.254 udp * 500
ip filter 200082 pass * 192.168.0.254 udp * 4500
ip filter 200099 pass * * * * * #すべて許可
ip filter 300001 reject * 192.168.0.0/24 * * * #192.168.0.0/24への通信拒否
ip filter 300002 pass * 192.168.0.255 * * * #192.168.0.255への通信許可
ip filter 300004 pass 192.168.1.253 * * * * #無線APへの通信許可
ip filter 300003 pass 192.168.0.255 * * * *
ip filter 500000 restrict * * * * * #すべて拒否
ip filter dynamic 200080 * * ftp #各種ダイナミック
ip filter dynamic 200081 * * domain 
ip filter dynamic 200082 * * www 
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
静的NAPT
nat descriptor type 1000 masquerade #ipマスカレード設定
nat descriptor masquerade static 1000 1 192.168.10.1 tcp www #Webサーバへの80,433設定
nat descriptor masquerade static 1000 2 192.168.10.1 tcp https
nat descriptor masquerade static 1000 3 192.168.10.1 tcp ftpdata #webサーバへの20,21設定
nat descriptor masquerade static 1000 4 192.168.10.1 tcp 21
nat descriptor masquerade static 1000 101 192.168.0.255 udp discard #VPNアクセス用
nat descriptor masquerade static 1000 102 192.168.0.254 udp 500
nat descriptor masquerade static 1000 104 192.168.0.254 udp 4500
その他設定
ipsec auto refresh on #IKE鍵交換自動
ipsec transport 1 1 udp 1701 #ipsec使用ポート
ipsec transport 2 2 udp 1701
syslog notice on #syslog追加
syslog debug on
dhcp service server #DHCPサーバー有効可化
dhcp server rfc2131 compliant except remain-silent #rfc2131準拠化
dhcp scope 1 192.168.0.16-192.168.0.127/24 #Vlan1スコープ
dhcp scope 2 192.168.1.1-192.168.1.127/24 #Vlan2スコープ
dns server pp 1 #dnssever設定
dns server select 500001 pp 1 any . restrict pp 1 #DNSseverテーブル設定
dns private address spoof on #プライベートアドレスのdns問い合わせ拒否
ip host qunaud.local 192.168.10.1 #dnsレコード設定
snmp sysname yamaha-rtx1200-(macaddress) #smtp用ホスト名設定
schedule at 1 */* 01:56:00 * ntpdate ntp.nict.jp syslog #ntpでの時刻同期設定
l2tp service on #l2tp有効化
netvolante-dns server update address use server=1 on #ネットボランチDNSIP更新自動化
upnp use on #UPnP有効化
sshd service on #ssh接続有効化
sshd host vlan1 #ssh接続vlan指定
sshd host key generate * #ssh用キー
statistics cpu on #統計機能有効
statistics memory on

次は

ルーターを変えたので速度測定でもしようかと

3
5
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
5