UJP - FWX120カテゴリのエントリ

I hope this helps.

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ FWX120 の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - FWX120カテゴリのエントリ

 ヤマハのファイアウォールルータには,「外部データベース参照型URLフィルター」という機能があって,トレンドマイクロとかの外部の会社が提供するURLリストとレピテーション情報をリスト化して参照する仕組みがあるのだけど,それを使わないでただのファイアウォールとして使う場合のURLフィルタを使ってみることにした.
 つまり,今回の場合「内部データベース参照型URLフィルター」を使うということになる.

 GUIじゃなくてコマンドラインで入れたいタイプなので,試行錯誤したけど,想定通りうまくいかなかった.それは次の3つの視点について理解が足りてなかった.

  • URLフィルタは,HTTP向けが先で,HTTPS用は後から追加された
  • HTTP向けのフィルタはルータへの入り口で効き,HTTPSはルータに入った後で効く
  • 世の中のWebサイトはHTTPとHTTPS両方用意されているわけでは無い

     特に3つ目の部分でハマった.

     まずは最小限のHTTPのみのURLフィルタを設定した例.

    ip route default gateway 192.168.20.1
    ip lan1 address 192.168.100.1/24
    ip lan2 address 192.168.20.50/24
    ip lan2 nat descriptor 200
    url lan2 filter out 10600 10727 🈁
    nat descriptor type 200 masquerade
    nat descriptor address outer 200 primary
    url filter 10600 reject toyota * 🈁
    url filter 10727 pass * * 🈁
    dhcp service server
    dhcp server rfc2131 compliant except remain-silent
    dhcp scope 1 192.168.100.2-192.168.100.191/24
    dns server 1.1.1.1
    dns private address spoof on
    
     この例では,url filterの10600でtoyotaという文字がURLに含まれているとブロックされ,それ以外は10727によって通過できる.

    ...続きを読む

  •  随分前に買ったヤマハのファイアウォールルータ,FWX1200をどうにか活用しようとしている計画のうちの検証の1つ.

     ポートフォワード機能を使って,特定のIPアドレスの特定のポートにきたデータを,別のネットワークにあるサーバに転送しようというもの.

     今回実現した設定の構成図はこちら.


     RTX1200のLAN1ポート配下にある,FWX120(192.168.20.50)へ,同じネットワークにあるClientPCから80番ポートにアクセスすると,FWX120のLAN1ポートにあるWebサーバ(192.168.100.20)にポート転送するというもの.

    ip route default gateway 192.168.20.1
    ip keepalive 1 icmp-echo 10 5 192.168.20.1
    ip lan1 address 192.168.100.1/24 
    ip lan2 address 192.168.20.50/24
    ip lan2 inbound filter list 201 202 203 204 205 206 207 299
    ip lan2 nat descriptor 200
    ip filter 500000 restrict * * * * *
    ip inbound filter 201 reject-nolog * * tcp,udp * 135
    ip inbound filter 202 reject-nolog * * tcp,udp 135 *
    ip inbound filter 203 reject-nolog * * tcp,udp * netbios_ns-netbios_ssn
    ip inbound filter 204 reject-nolog * * tcp,udp netbios_ns-netbios_ssn *
    ip inbound filter 205 reject-nolog * * tcp,udp * 445
    ip inbound filter 206 reject-nolog * * tcp,udp 445 *
    ip inbound filter 207 reject-nolog 192.168.100.0/24 * * * *
    ip inbound filter 299 pass-nolog * * * * *
    ip policy interface group 101 name=Private local lan1
    ip policy address group 101 name=Private 192.168.100.0/24
    ip policy address group 102 name=Any *
    ip policy service 1000 @tcp/80 tcp * 80
    ip policy service 1001 @tcp/22 tcp * 22
    ip policy service group 101 name="Open Services"
    ip policy service group 102 name=General dns
    ip policy service group 103 name=Mail pop3 smtp submission
    ip policy service group 1100 name=Masq1100 @tcp/80 @tcp/22
    ip policy filter 1100 reject-nolog lan1 * * * *
    ip policy filter 1110 pass-nolog * * * * 102
    ip policy filter 1122 static-pass-nolog * lan1 * * *
    ip policy filter 1123 static-pass-nolog * local * * *
    ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http
    ip policy filter 1460 pass-nolog * lan2 * * *
    ip policy filter 1700 pass-nolog local * * * *
    ip policy filter 1710 static-pass-nolog * lan1 * * *
    ip policy filter 1900 reject-nolog lan2 * * * *
    ip policy filter 1920 pass-log * lan1 * * 101
    ip policy filter 3000 reject-nolog * * * * *
    ip policy filter 4100 pass-nolog * * * 192.168.100.20 1100
    ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122 1460] 1900 [4100 1920] 1700 [1710] 3000
    ip policy filter set enable 101
    nat descriptor type 200 masquerade
    nat descriptor address outer 200 primary
    nat descriptor masquerade static 200 1 192.168.100.20 tcp www
    dhcp service server
    dhcp server rfc2131 compliant except remain-silent
    dhcp scope 1 192.168.100.2-192.168.100.191/24
    dns server 192.168.20.1
    dns private address spoof on
    
     分解しながら,明日の自分のためようの解説を.

    ...続きを読む


    広告スペース
    Google