読者です 読者をやめる 読者になる 読者になる

tjinjin's blog

いつかすごいエンジニアになることを目指して、日々学んだことを書いていきます。

ヤマハRTX1200の設定例を使ってコンフィグを学ぶ

About

NW素人のインフラエンジニアなので、一から勉強することにしました。おかしな点ありましたらご指摘いただけると助かります。

設定例を読み解いて見よう

ヤマハのページに設定例が載っているので、それを元に基本的な設定を確認してみます。

全体像はこちら

LAN1ポート分離機能:RTX1200 コマンド設定例 « 設定例

設定の確認

# 経路設定
ip route default gateway pp 1

LAN内で見つからなかったIPを外に探しに行く時に利用します。マルチホーミングとかの設定が必要ならば、他の設定になりそうですが基本的には上記の設定のままでいいんじゃないでしょうか。

# IPフィルタの設定
ip filter source-route on
ip filter directed-broadcast on

source-route Source-route オプション付き IP パケットをフィルタアウトするか否かを設定しています。ルータは基本的に自動で経路を選択しますが、この設定をすると送信経路を指定できるとのこと。ググった限り、アタックに使われることもあるようなのでon(フィルタアウトする)にしといたほうが良い気がします。

directed-broadcast はこちらに詳細な説明が。http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-filter-directed-broadcast.html directed broadcast addressとはホスト部がすべて1になっているアドレスらしいです。192.168.1.0/24としたら192.168.1.255ってことですかね。smurf攻撃に繋がるみたいなので、onにしておけばよさそうです。

# ポート分離機能の設定
lan type lan1 port-based-option=split-into-1234567:8

基本設定ではポートをグループに分けて、グループ内通信とルータとの通信はできるが、他のグループとの通信を制限します。上記の場合1234567/8というふうに分かれているので、2つのグループができており、1:2:3:4:5:6:7:8とするとすべてのポートを分割できます。今回の例だとlan1は172.16.1.0/24のNWに属しているが、ポートが分かれている場合は同じNW同士でも通信ができないようになっているみたいです。

# LANポートのIPアドレスの設定、フィルタの適用
ip lan1 address 172.16.1.254/24
ip lan2 address 172.16.10.1/24
ip lan2 secure filter in 9101
ip lan2 secure filter out 9001

addressの行はそのlanに割り当てたIPアドレスを示しています。lan1で172.16.1.254/24というような指定はなぜしているんだろう?172.16.1.1/24でもホストのrangeは変わらないように思いました。filterの部分は後述。

# WANインタフェース(ISPへの接続)の設定
pp select 1
 pp always-on on
 pppoe use lan3
 pp auth accept chap pap
 pp auth myname [ISPに接続するID] [ISPに接続するパスワード]
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ccp type none
 ip pp mtu 1454
 ip pp secure filter in 1020 1030 2000
 ip pp secure filter out 1010 1011 1012 1013 1014 1015 4001 dynamic 100 101 102 103 104 105 106
 ip pp nat descriptor 1
pp enable 1

この辺から大変に。ppから始まる部分はpppoeなどのISPの設定部分です。pp selectからそのppに対する設定になります。pp always-on onは常時接続の設定。基本的にonでいいんではないでしょうか。あとはISPの認証IDや認証方式などなど。filterは後述。nat descriptorも後述。

# NATの設定
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 172.16.1.150

natはIPアドレスにはプライベートIPとグローバルIPがありますが、それを変換していい感じにしてくれる仕組みです。nat descriptor type <id> <type>の部分は設定をグルーピングするための値みたいです。先ほどのWANの設定部分でip pp nat descriptor 1と設定していますが、1 のnatの設定を使うことを示しています。

outerは外向きに通信が行く時に利用するIPアドレスを示しています。ここではipcpを指定していますがこれは

PPP の IPCP の IP-Address オプションにより接続先から通知される IP アドレス

とのことです。特に固定IPを使う必要がない場合はこちらでよさそうです。固定IPを持っている場合はIPアドレスを指定することもできます。innerは変換対象にするプライベートIPで今回の構成だと1つしかWANに接続しないですが、通常はそんなこと無いと思うので、autoにするかIPを指定する形になると思います。172.16.1.1-172.16.1.254のような。

# フィルタの設定
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 172.16.1.0/24 *
ip filter 1030 pass * 172.16.1.150 icmp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter 4001 pass 172.16.1.150 *
ip filter 9001 pass 172.16.1.1-172.16.1.100 172.16.10.0/24
ip filter 9101 pass 172.16.10.0/24 172.16.1.1-172.16.1.100
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp

ip filterがパケットのフィルタリングの設定です。WANやIPアドレスの指定の部分でip pp secure filter in/out xxxのようなフォーマットになってますが、xxxの部分はfilterの設定と対応しています。filterにはin/outがあり、inは入力方向(外から内?)outは出力方向(内から外)のフィルタです。フィルタ番号は1〜21474836まで選べるので、コンベンション決めておくとわかりやすそうです。filterが複雑になっていくと大変になるので、しっかり決めておいたほうがいいと思います。ではどうすべきなのかというところですが、まだベター設定がよくわかってないです。

フィルタがぱっと頭に入って来ないので、ここはしっかり確認したほうがよさそうです。in/outとsrc/destの指定がごちゃごちゃになってわけわからなくなります。複雑な設定がなければ、基本的に外からの通信は拒否する形になりそうです。

今回で言うとpp1のinに1020/1030/2000が適用されていて、1020は外からのプライベートIPの偽装を禁止・1030でWANに繋がるPCへのicmpは許可・2000でその他は拒否というところでしょうか。

# DHCPの設定
dhcp service server
dhcp scope 1 172.16.1.1-172.16.1.100/24

DHCPの設定で固定でIPを利用したい端末もあると思うので、適当な範囲で設定することになります。1つのNWにつき1つまでしかscopeが設定できないみたいなので、拡張を見込む場合は注意が必要です。

# DNSの設定
dns server [DNSサーバのアドレス]

これはみたままでDNSサーバをDHCPで配ることができます。

まとめ

NWの設計・設定は難しいですね。社内の機密情報に当たると思うので設定例とかもなかなか外に出にくいものな気がしてweb上に知見が少ない気がしました。情報共有のネットワークを広げていきたいです。家に実機が欲しい!!!

参考

http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/Cmdref.pdf

wadap.hatenablog.com

たのしいインフラの歩き方

たのしいインフラの歩き方