<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR100 シリーズ 設定例集 2.3 #20
専用線によるインターネット接続(LAN側グローバル。IPフィルター)
専用線を使ってインターネットサービスプロバイダー(ISP)にLAN型で接続します。この例では、NATを使用せず、LAN側端末にグローバルアドレスを直接割り当てます。また、IPトラフィックフィルターを使ってアクセス制限を行います。
専用線接続では、ISPからいくつか(8個、16個など)固定的にIPアドレスを割り当てられ、ユーザーのLANをISPのネットワークに直接接続する形になります。
表 1:ISPから提供された情報
| WAN側インターフェース |
Unnumbered |
| 使用できるIPアドレス |
4.4.4.0/28(4.4.4.0〜4.4.4.15) |
ルーターには、次のような方針で設定を行います。
- LAN側端末はすべてグローバルアドレスで運用します。NATは使用しません。ISPから割り当てられているアドレスは16個ですが、ネットワークアドレス(4.4.4.0)、ブロードキャストアドレス(4.4.4.15)、ルーター自身のアドレス(4.4.4.1)にそれぞれ1個ずつ消費されるため、端末に設定できるアドレスは4.4.4.2〜4.4.4.14の13個となります。
- IPトラフィックフィルターを利用して、次のようなフィルタリング条件を設定します。
- TCPは内部(LAN)から外部(インターネット)へのみコネクションを張ることができる。
- UDPは双方向とも禁止。ただし、内部から外部へのDNS要求/応答だけは許可する。
- ICMPは双方向とも許可。
Note
- この例は説明のための簡単な設定です。このフィルターを使用しても安全が確保できる保証はありませんのでご注意ください。またインターネット接続では、ファイアウォールを使うと、より簡単な設定で同等以上の効果を得られます。
ルーターの基本設定を次にまとめます。
表 2:ルーターの基本設定
| TDMグループ名 |
ISP |
| 回線速度 |
64Kbps |
| WAN側物理インターフェース |
bri0 |
| WAN側(ppp0)IPアドレス |
Unnumbered |
| LAN側(eth0)IPアドレス |
4.4.4.1/28 |
- BRIインターフェース「0」の全スロット(1〜2)を、常時起動のTDM(専用線)モードに設定します。
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
Note
- 回線速度が64Kbpsであっても、BRIインターフェースの全スロットをTDMモードに設定してください(TDMSLOTS=1-2)。
- bri0のスロット1(64Kbps)に対して、TDMグループ「ISP」を作成します。
CREATE TDM GROUP=ISP INT=bri0 SLOTS=1 ↓
- PPPインターフェース「0」をTDMグループ「ISP」上に作成します。LQRはオフにします。
CREATE PPP=0 OVER=TDM-ISP LQR=OFF ↓
- IPモジュールを有効にします。
Note
- IPモジュールはデフォルトで有効になっているため、通常このコマンドは不要です(入力すると「IP module is already enabled」というエラーが出ますが問題はありません)。
- LAN側(eth0)インターフェースに、ISPから提供されたアドレスブロックの先頭アドレスを設定します。
ADD IP INT=eth0 IP=4.4.4.1 MASK=255.255.255.240 ↓
- WAN側(ppp0)インターフェースにIPアドレス「0.0.0.0」を割り当て、Unnumberedを使用するよう設定します。
ADD IP INT=ppp0 IP=0.0.0.0 ↓
- デフォルトルートを設定します。
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- WAN側(ppp0)インターフェースに適用するIPフィルター「1」の設定を行います。
なお、IPフィルターの設定ではコマンドラインが長くなりがちなので、適宜省略形を用いてください。この例でも省略形を用いています。
- LAN側から張ったTCPコネクションに限り、インターネット側からLANへのTCPパケットを通過させます。
ADD IP FILT=1 SO=0.0.0.0 SM=0.0.0.0 DEST=4.4.4.0 DM=255.255.255.240 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=1 PROT=TCP SESS=ESTABLISHED ↓
- インターネット側からLAN側へのUDPパケットは、DNSからの応答(始点UDPポート53番)のみ通過させます。
ADD IP FILT=1 SO=0.0.0.0 SM=0.0.0.0 DEST=4.4.4.0 DM=255.255.255.240 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=2 PROT=UDP SPORT=53 ↓
- インターネット側からLAN側へのICMPパケットはすべて通過させます。
ADD IP FILT=1 SO=0.0.0.0 SM=0.0.0.0 DEST=4.4.4.0 DM=255.255.255.240 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=3 PROT=ICMP ↓
Note
- IPフィルターのデフォルト動作は「すべて拒否(EXCLUDE)」です。すなわち、明示的に指定した条件にマッチしなかったパケットはすべて破棄されます。
- LAN側(eth0)インターフェースに適用するIPフィルター「2」の設定を行います。
- LAN側からインターネット側へのTCPパケットはすべて通過させます。
ADD IP FILT=2 SO=4.4.4.0 SM=255.255.255.240 DEST=0.0.0.0 DM=0.0.0.0 AC=INCLUDE ↓
SET IP FILT=2 ENTRY=1 PROT=TCP SESS=ANY ↓
- LAN側からインターネット側へのUDPパケットは、DNSへのリクエスト(終点UDPポート53番)のみ通過させます。
ADD IP FILT=2 SO=4.4.4.0 SM=255.255.255.240 DEST=0.0.0.0 DM=0.0.0.0 AC=INCLUDE ↓
SET IP FILT=2 ENTRY=2 PROT=UDP DPORT=53 ↓
- LAN側からインターネット側へのICMPパケットはすべて通過させます。
ADD IP FILT=2 SO=4.4.4.0 SM=255.255.255.240 DEST=0.0.0.0 DM=0.0.0.0 AC=INCLUDE ↓
SET IP FILT=2 ENTRY=3 PROT=ICMP ↓
Note
- IPフィルターのデフォルト動作は「すべて拒否(EXCLUDE)」です。すなわち、明示的に指定した条件にマッチしなかったパケットはすべて破棄されます。
- IPフィルター「1」をWAN側(ppp0)インターフェースに適用します。
- IPフィルター「2」をLAN側(eth0)インターフェースに適用します。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
■ IPフィルターには、条件を指定するさまざまなパラメーターがあります。くわしくはコマンドリファレンスをご覧ください。
■ IPフィルターはパラメーターが多いため、コマンドラインが長くなりがちです。
コマンドラインの入力文字数制限によりコマンドを入力できない場合は、省略形を使ったり、コマンドを複数行に分けるなどして対処してください。
また、コマンドパラメーターの詳細についてはコマンドリファレンスをご覧ください。
■ IPフィルターの設定状況を確認するには次のコマンドを使います。
■ どのIPインターフェースにどのソフトウェアIPフィルターが適用されているかを確認するには、次のコマンドを使います。
■ IPインターフェースからIPフィルターを削除するには、SET IP INTERFACEコマンドのFILTERパラメーターにNONEを指定します。IPインターフェースeth0からIPフィルターの適用を取り消すには、次のようにします。
SET IP INT=eth0 FILTER=NONE ↓
■ 現在の設定内容を表示するには、次のコマンドを使います。
ルーターのコンフィグ
[テキスト版]
SET BRI=0 MODE=TDM ACTIVATION=ALWAYS TDMSLOTS=1-2 ↓
CREATE TDM GROUP=ISP INT=bri0 SLOTS=1 ↓
CREATE PPP=0 OVER=TDM-ISP LQR=OFF ↓
ENABLE IP ↓
ADD IP INT=eth0 IP=4.4.4.1 MASK=255.255.255.240 ↓
ADD IP INT=ppp0 IP=0.0.0.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ADD IP FILT=1 SO=0.0.0.0 SM=0.0.0.0 DEST=4.4.4.0 DM=255.255.255.240 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=1 PROT=TCP SESS=ESTABLISHED ↓
ADD IP FILT=1 SO=0.0.0.0 SM=0.0.0.0 DEST=4.4.4.0 DM=255.255.255.240 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=2 PROT=UDP SPORT=53 ↓
ADD IP FILT=1 SO=0.0.0.0 SM=0.0.0.0 DEST=4.4.4.0 DM=255.255.255.240 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=3 PROT=ICMP ↓
ADD IP FILT=2 SO=4.4.4.0 SM=255.255.255.240 DEST=0.0.0.0 DM=0.0.0.0 AC=INCLUDE ↓
SET IP FILT=2 ENTRY=1 PROT=TCP SESS=ANY ↓
ADD IP FILT=2 SO=4.4.4.0 SM=255.255.255.240 DEST=0.0.0.0 DM=0.0.0.0 AC=INCLUDE ↓
SET IP FILT=2 ENTRY=2 PROT=UDP DPORT=53 ↓
ADD IP FILT=2 SO=4.4.4.0 SM=255.255.255.240 DEST=0.0.0.0 DM=0.0.0.0 AC=INCLUDE ↓
SET IP FILT=2 ENTRY=3 PROT=ICMP ↓
SET IP INT=ppp0 FILT=1 ↓
SET IP INT=eth0 FILT=2 ↓
|
CentreCOM AR100 シリーズ 設定例集 2.3 #20
Copyright (C) 2001-2002 アライドテレシス株式会社
PN: J613-M0516-00 Rev.C
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))