ASH | サーバ | セキュリティ | Linux | FreeBSD | DB | Web | CGI | Perl | Java | XML | プログラム | ネットワーク | 標準 | Tips集

ルータのフィルタ設定

ルータの基本設定

　本サイトにおける、セキュリティの基本ポリシーを以下のように定めます。

内部から外部は、全てのサービスが利用可能とする。
ICMPはサポートする。
外部から内部は、提供するサービス以外は1024番ポート以降のみ通す。
DNS、mail、www、FTP、telnet以外のサービスを全て禁止する。

　一番下の項目は、「許可（pass）するサービスを順に設定して、最後に全てのサービスを禁止（reject）する」という手順になります。禁止するサービスを一つ一つ設定するよりも、このほうが安全性が高く、記述も簡潔になります。

※ICMP（Internet Control Message Protocol）とはネットワーク制御用のプロトコルで、ネットワークの状態などを知るためのものです。

具体的な設定内容

　上記の基本ポリシーをふまえて、フィルタを記述します。
　フィルタは最大で32個まで設定でき、番号の小さい順から処理されます。
　設定例の末尾、32番フィルタは提供するサービス以外を全て禁止するためのものです。このフィルタによって、未設定のサービスは全て禁止されます。

＃フィルタ設定例

ip route 0.0.0.0/0/7 remote 0 static

＃　FTPの許可
ip filter 20 pass in * * tcp * 20 remote 0
ip filter 21 pass in * * tcp * 21 remote 0

＃　telnetの許可
ip filter 22 pass in * * tcp * 23 remote 0

＃　wwwの許可
ip filter 23 pass in * * tcp * 80 remote 0
ip filter 24 pass in * * tcp * 443 remote 0

＃　mailの許可
ip filter 25 pass in * * tcp * 25 remote 0
ip filter 26 pass in * * tcp * 110 remote 0

＃　DNSの許可
ip filter 27 pass in * * tcp * 53 remote 0
ip filter 28 pass in * * udp * 53 remote 0
ip filter 29 pass in * * tcp * 113 remote 0

＃　ICMPの許可
ip filter 30 pass in * * icmp * * remote 0

＃　1024番ポート以降の許可
ip filter 31 pass in * * * * 1024-65535 remote 0

＃　全ポートの禁止
ip filter 32 reject in * * * * * remote 0

[ASHのホームページへ]