自社サーバーを公開(複数の固定グローバルIPアドレス / LAN分割) : コマンド設定

管理番号:YMHRT-17482

本設定例は、以下の機種に対応しています。

対応機種: RTX830RTX810NVR700W

図 自社サーバーを公開(複数の固定グローバルIPアドレス / LAN分割) : コマンド設定 構成図

ヤマハルーターを使って、安全にインターネットを利用するとともに、自社ネットワークに設置したWWWサーバーとFTPサーバーをインターネットへ公開する設定例です。LAN分割機能を使用して、ルーターのLAN1ポートを、公開サーバーを設置するセグメントと社内ネットワークのセグメントに分けています。
ファイアウォールの機能が、インターネットからの不正な侵入を防ぎ、公開サーバーに対する攻撃を検知します。

■LAN1ポートのLAN分割設定

  • ポート1~ポート2:社内ネットワーク (192.168.0.0/24)
  • ポート3~ポート4:公開サーバー用ネットワーク (xxx.xxx.xxx.0/29 : 固定グローバルIPアドレス)

ルーターの設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

経路の設定 ip route default gateway pp 1
LANインターフェースの設定
(LAN1ポートを使用)
vlan port mapping lan1.1 vlan1
vlan port mapping lan1.2 vlan1
vlan port mapping lan1.3 vlan2
vlan port mapping lan1.4 vlan2
lan type lan1 port-based-option=divide-network
ip vlan1 address 192.168.0.1/24
ip vlan2 address (xxx.xxx.xxx.1)/29
ip vlan2 secure filter in 2000
ip vlan2 secure filter out 3000 dynamic 100 101 200
WANインターフェースの設定
(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ip pp mtu 1454
ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
ip pp intrusion detection in on # 注釈1
ip pp nat descriptor 1
pp enable 1
フィルターの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 1031 pass * (xxx.xxx.xxx.2) tcpflag=0x0002/0x0fff * www # 注釈2
ip filter 1032 pass * (xxx.xxx.xxx.3) tcpflag=0x0002/0x0fff * 21 # 注釈3
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 200 192.168.0.0/24 * telnet # 注釈4
ip filter dynamic 201 * (xxx.xxx.xxx.2) www # 注釈5
ip filter dynamic 202 * (xxx.xxx.xxx.3) ftp # 注釈6
NATの設定 nat descriptor type 1 masquerade
nat descriptor address outer 1 (xxx.xxx.xxx.1)
nat descriptor address inner 1 192.168.0.1-192.168.0.254
DHCPの設定 dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.2-192.168.0.191/24
DNSの設定 dns server (ISPから指定されたDNSサーバーのIPアドレス)
dns private address spoof on

[注釈の説明]

注釈1
WANインターフェースで不正アクセス検知機能を有効にします。検知した結果は、show ip intrusion detectionコマンドで確認できます。

注釈2、注釈5
WWWサーバーへのアクセスのうち、最初のパケット(SYN)だけを通すフィルターです。その後に引き続く通信は、注釈5の動的フィルターで通します。

注釈3、注釈6
注釈2と同様に、FTPサーバーへのアクセスのうち、最初のパケット(SYN)を通すフィルターです。その後に引き続く通信は、注釈6の動的フィルターで通します。

注釈4
WWWサーバーとFTPサーバーをメンテナンスするために使うtelnetの通信を通すフィルターです。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。