ルータの設定内容

最終更新日 : Saturday, 06-May-2006 00:13:24 JST

ルータの設定内容

方針

前述の通り，ルータにはBA8000proを使用しているわけでありますが，その設定内容を簡単に説明します。まず，方針として

・外部→内部

サーバを立ち上げる上で必要なポートは開放し，サーバのローカルIPへアドレス変換を行う。
必要なポート以外の通信はすべて遮断する。

・内部→外部

あり得ないIPアドレスから（プライベートIPアドレスなど）のIPパケットは破棄する。
プライベートIPアドレスが送信先のパケットは外に出さない。
ウイルス攻撃にさらされやすいポートの通信は遮断する。

設定

上記の方針に基づいて，BA-8000proの設定を行います。次の表は一例です。また，ここでの説明ではサーバのIPアドレスは 192.168.0.200 と仮定しています。

●静的マスカレード（NAT）

ID	プロトコル	リモートIPアドレス	リモートポート	外部IPアドレス	外部ポート	内部IPアドレス	内部ポート
10	tcp	*	*	WAN側ポートIPアドレス	80	192.168.0.200	外部ポート番号と同じ
20	tcp	*	*	WAN側ポートIPアドレス	25,110	192.168.0.200	外部ポート番号と同じ

　ID欄は，設定の優先度を示します。あとからでも追加できるよう，適度に間をとっておいてください。サーバを公開する上で必要なポートを「外部ポート」で指定し，ローカルネットワークでのサーバのIPアドレスを「内部IPアドレス」で指定します。
　サーバが提供する主なサービスが必要とするポートは以下の通りです。

HTTP --- 80
FTP ---21
SSH --- 22
SMTP --- 25
POP3 --- 110

●静的フィルタ（WAN0→LAN0）外部から内部へ

ID	動作	プロトコル	送信元IPアドレス	送信元ポート	送信先IPアドレス	送信先ポート
20	pass	udp&tcp	*	*	192.168.0.200	80,25,110
30	pass	udp&tcp	*	*	*	1024-65534
64	discard(log)	*	*	*	*	*

　ID欄については，NATの設定時と同様に適度に間をとってください。ID=20で指定している「送信先ポート」はNATの設定時におけるものと同様になります。必要なポートのみフィルタの対象から外しています。
　ID=30で指定しているのは，いわゆる「ウェルノウンポート(Well known port)」以外のものはフィルタの対象外にするというものです。クライアント側では通常ウェルノウンポート以外を使用して通信するため，この設定をしないと，内部ネットワークから外側へ接続をしたときに，不具合が出ます。

●静的フィルタ（LAN0→WAN0）内部から外部へ

ID	動作	プロトコル	送信元IPアドレス	送信元ポート	送信先IPアドレス	送信先ポート
1	discard	*	*	*	10.0.0.0/8	*
2	discard	*	*	*	176.16.0.0/12	*
4	discard	*	*	*	169.254.0.0/16	*
5	discard	*	*	*	224.0.0.0/4	*
10	discard	udp&tcp	*	135,445	*	*
11	discard	udp&tcp	*	*	*	135,445
12	discard	udp&tcp	*	137-139	*	*
13	discard	udp&tcp	*	*	*	137-139
64	pass	*	*	*	*	*

　ここでは，送信先がプライベートIPアドレスになっているものを遮断し，135,445,137,138,139番ポートの通信も遮断するようにしている。主にWindows共有がらみのパケットを破棄するためである。
　Cクラス(192.168.x.0/24)のプライベートアドレスも指定するのが望ましいが，筆者はプライベートアドレスにCクラスを使用しているため，設定することによって不都合が出るかもしれないと思ったため設定していない。

まとめ

　以上のような設定で，特に問題は起きていないので大丈夫だとは思います。もし，お気づきの点がございましたらメールでお知らせいただければ有り難いです。