PPPoE・NAT・静的フィルタの設定(その1)

ここでは、PPPoE、NAT、静的フィルタの設定を行っていきます。

ネットワークの構成は、下図の通りです。

まず、PPPoEとNATの設定を行います。

# console prompt R1
R1# ip route default gateway pp 1
R1#ip lan1 address 192.168.1.1/24
R1# pp select 1
R1pp1# pppoe use lan2
R1pp1# pp auth accept pap chap
R1pp1# pp auth myname (PPPoE接続ID) (PPPoE接続パスワード)
R1pp1# ppp lcp mru on 1454
R1pp1# ppp ipcp ipaddress on
R1pp1# ppp ipcp msext on
R1pp1# ppp ccp type none
R1pp1# ip pp mtu 1454
R1pp1# ip pp nat descriptor 1
R1pp1# pp enable 1
R1pp1# nat descriptor type 1 masquerade
R1pp1# dns server pp 1
R1pp1# dns private address spoof on
R1pp1# pp select none

静的フィルタの設定

静的フィルタの設定を行っていきます。

<IN方向の静的フィルタ>

まずは、pp inの静的フィルタを定義してゆきます。

●送信元がプライベートIPアドレスの遮断

 攻撃を仕掛ける場合の代表的な手法にIPアドレスの偽装(IPスプーフィング)があります。また、ウイルスに感染したり、踏み台として利用される場合や、DoS攻撃、DDoS攻撃 などを行う際に、送信元が特定されないようにするためにも利用されます。

 その際、よく偽装されるIPアドレスが、プライベートIPアドレスです。この。プライベートアドレスは、LANなどのプライベートで閉じたネットワークでしか利用されることがないアドレスです。

このプライベートIPアドレスが書き込まれているパケットがインターネット上を流れることはありません。

一般的には、プライベートIPアドレスが指定されたパケットを遮断するようにフィルタリングを定義します。

R1# ip filter 10 reject 10.0.0.0/8 * * * *
R1# ip filter 11 reject 172.16.0.0/12 * * * *
R1# ip filter 12 reject 192.168.0.0/16 * * * *

●ICMPの通過

R1# ip filter 30 pass * * icmp * *

●TCPの戻りのパケットの通過

R1# ip filter 31 pass * * established * *

●IDENTの通過

 TCPのidentは、認証の一種で、メール通信を行う際に、メールサーバ側からidentによりユーザ認証が行われる場合があります。そのために動的フィルタで通過せるように定義しておきます。

R1# ip filter 32 pass* * tcp * ident

●FTP-DATA、DNSの通過

R1# ip filter 33 pass * * tcp ftpdata *
R1# ip filter 34 pass * * udp domain *

●tracerouteの通過

UDPのポート33434-22300は、tracerouteで使用されています。tracerouteを通過させます。

R1# ip filter 35 pass udp * 33434-33500

<out方向の静的フィルタ>

pp outの静的フィルタを定義してゆきます。

●不正利用されやすいWindowsのポートを遮断

 Windowsが利用するTCP/UDPの135,137,138,139,445番のポートは、ファイヤウォールで遮断するのが無難です。

 多くのユーザが利用するWindowsは、悪意のあ