PPPoE(ADSL・FTTH 基本設定 その4)

PPPoE(ADSL・FTTH 基本設定 その3)」の続きです。引き続き、PPPoE を設定していきます。

ここでは、ファイアウォールの設定を追加します。

 インターネット側からのアクセスに対して無防備にしておくのは、望ましくありません。NAT(PAT)を設定することである程度、ファイアウォールとして機能しますが、不十分です。ここでは、簡単にファイアウォールの設定を行います。
※実際の運用レベルでは、もっと詳細な、フィルタリングの設定が必要になってきます。

Router_Aの設定(続き)

●ファイアウォールの設定

まずは、不正なアドレスによるアクセスを拒否します。IPスプーフィング対策を施します。

種類アドレス範囲
自身のネットワーク0.0.0.0/8
プライベートアドレス10.0.0.0/8
72.16.0.0/12
192.168.0.0/16
ループバックアドレス127.0.0.0/8
リンクローカルアドレス169.254.0.0/16
TEST-NET
(文献に例として載せる場合に使用するアドレス)
192.0.2.0/24
マルチキャストアドレス
(クラスD)
224.0.0.0/4
クラスEアドレス240.0.0.0/4

●ACLによるIPスプーフィング対策


Router_A(config)#access-list 100 deny ip 0.0.0.0 0.255.255.255 any
Router_A(config)#access-list 100 deny ip 10.0.0.0 0.255.255.255 any
Router_A(config)#access-list 100 deny ip 127.0.0.0 0.255.255.255 any
Router_A(config)#access-list 100 deny ip 169.254.0.0 0.0.255.255 any
Router_A(config)#access-list 100 deny ip 172.16.0.0 0.15.255.255 any
Router_A(config)#access-list 100 deny ip 192.0.2.0 0.0.0.255 any
Router_A(config)#access-list 100 deny ip 192.168.0.0 0.0.0.255 any
Router_A(config)#access-list 100 deny ip 224.0.0.0 15.255.255.255 any
Router_A(config)#access-list 100 deny ip 240.0.0.0 15.255.255.255 any

 さらに、NETBIOS(ポート137~139)、Windows共有サービス(SMB:ポート445)、TELNETを規制しておきます。

●ACLによるNETBIOS・Windows共有サービスのブロック


Router_A(config)#access-list 100 deny tcp any any range 137 139
Router_A(config)#access-list 100 deny tcp any range 137 139 any
Router_A(config)#access-list 100 deny udp any any range netbios-ns netbios-ss
Router_A(config)#access-list 100 deny udp any range netbios-ns netbios-ss any
Router_A(config)#access-list 100 deny tcp any any eq 445
Router_A(config)#access-list 100 deny tcp any eq 445 any
Router_A(config)#access-list 100 deny udp any any eq 445
Router_A(config)#access-list 100 deny udp any eq 445 any
Router_A(config)#access-list 100 deny tcp any any eq telnet
Router_A(config)#access-list 100 permit ip any any

次の「PPPoE(ADSL・FTTH 基本設定 その5)」では、設定したルータのコンフィグを紹介します。

関連コンテンツ