PPPoE(ADSL・FTTH 基本設定 その4)
「PPPoE(ADSL・FTTH 基本設定 その3)」の続きです。引き続き、PPPoE を設定していきます。
ここでは、ファイアウォールの設定を追加します。
 |
インターネット側からのアクセスに対して無防備にしておくのは、望ましくありません。NAT(PAT)を設定することである程度、ファイアウォールとして機能しますが、不十分です。ここでは、簡単にファイアウォールの設定を行います。
※実際の運用レベルでは、もっと詳細な、フィルタリングの設定が必要になってきます。
Router_Aの設定(続き)
●ファイアウォールの設定
まずは、不正なアドレスによるアクセスを拒否します。IPスプーフィング対策を施します。
| 種類 | アドレス範囲 |
| 自身のネットワーク | 0.0.0.0/8 |
| プライベートアドレス | 10.0.0.0/8 72.16.0.0/12 192.168.0.0/16 |
| ループバックアドレス | 127.0.0.0/8 |
| リンクローカルアドレス | 169.254.0.0/16 |
| TEST-NET (文献に例として載せる場合に使用するアドレス) | 192.0.2.0/24 |
| マルチキャストアドレス (クラスD) | 224.0.0.0/4 |
| クラスEアドレス | 240.0.0.0/4 |
●ACLによるIPスプーフィング対策
Router_A(config)#access-list 100 deny ip 0.0.0.0 0.255.255.255 any
Router_A(config)#access-list 100 deny ip 10.0.0.0 0.255.255.255 any
Router_A(config)#access-list 100 deny ip 127.0.0.0 0.255.255.255 any
Router_A(config)#access-list 100 deny ip 169.254.0.0 0.0.255.255 any
Router_A(config)#access-list 100 deny ip 172.16.0.0 0.15.255.255 any
Router_A(config)#access-list 100 deny ip 192.0.2.0 0.0.0.255 any
Router_A(config)#access-list 100 deny ip 192.168.0.0 0.0.0.255 any
Router_A(config)#access-list 100 deny ip 224.0.0.0 15.255.255.255 any
Router_A(config)#access-list 100 deny ip 240.0.0.0 15.255.255.255 anyさらに、NETBIOS(ポート137~139)、Windows共有サービス(SMB:ポート445)、TELNETを規制しておきます。
●ACLによるNETBIOS・Windows共有サービスのブロック
Router_A(config)#access-list 100 deny tcp any any range 137 139
Router_A(config)#access-list 100 deny tcp any range 137 139 any
Router_A(config)#access-list 100 deny udp any any range netbios-ns netbios-ss
Router_A(config)#access-list 100 deny udp any range netbios-ns netbios-ss any
Router_A(config)#access-list 100 deny tcp any any eq 445
Router_A(config)#access-list 100 deny tcp any eq 445 any
Router_A(config)#access-list 100 deny udp any any eq 445
Router_A(config)#access-list 100 deny udp any eq 445 any
Router_A(config)#access-list 100 deny tcp any any eq telnet
Router_A(config)#access-list 100 permit ip any any
次の「PPPoE(ADSL・FTTH 基本設定 その5)」では、設定したルータのコンフィグを紹介します。