*AR415S Router 設定 [#x3fb57dc]
アライド製のルータAR415SをIP8個用のルータとして最低設定を行う。~
**設定項目 [#ybf6195c]
+パスワード
+LAN,WANのIPの設定
+IP Filterの設定
WANのIP:61.115.252.55/22 GW:61.115.255.254~
LANのIP:61.122.218.214/29
WANからアクセス可ポート~
TCP 22,25,53,80,443~
UDP 37,53~
ICMP
**設定 [#wa7a64e1]
設定シリアルケーブルを使用。~
マニュアル[[Web:http://www.allied-telesis.co.jp/support/list/router/ar415s/manual.html]]上にある。~
''接続''
INFO: Self tests beginning.
INFO: RAM test beginning.
PASS: RAM test, 32768k bytes found.
INFO: Self tests complete.
INFO: Downloading router software.
Force EPROM download (Y) ?
INFO: Initial download successful.
INFO: Initialising Flash File System.
INFO: Executing configuration script <flash:test01.cfg>
INFO: Router startup complete
login: manager
Password: ***** <==defalt:friend
''パスワード変更''
Manager > set password
Old password: ******
New password: ******
Confirm: *****
''時刻の確認''
Manager > show time
System time is 08:55:12 on Wednesday 25-Jul-2007.
&color(red){''PPPoEの設定(Unnumbered IP)''};
enable ip
# ANYはISPから指定がない場合は、どのサービス名タグでも受け入れ可
create ppp=0 over=eth0-ANY
# bap:マルチリンクPPP(MP)使用時(Default ON)
# iprequest:リモート側にIPアドレスの割り当てを要求するかどうか。デフォルトはOFF
# lqr:リンク状態の監視にLQR(Link Quality Report)パケットを使用するかどうか
デフォルトはON ECHOパラメーターと同時にONにすることはできない
# echo: リンク状態の監視にLCP Echoパケットを使用するかどうか
デフォルト10秒間隔で送信される。3回連続でEcho Replyが戻ってこなかった場合、
リンクがダウンしたと判断する。
# DHCPによるIPアドレスの動的設定機能を有効にする
enable ip remoteassign
#LAN側の設定(1)
add ip int=vlan1 ip=xx.xx.xx.xx mask=255.255.255.240
set ppp=0 bap=off iprequest=on username="****@xx.yy.jp" password="******"
set ppp=0 over=eth0-ANY lqr=off echo=on
# Unnumbered IP
add ip int=ppp0 ip=0.0.0.0 mask=0.0.0.0
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0
&color(red){add ip int=ppp0 ip=0.0.0.0 mask=0.0.0.0と設定した場合でもshow config dynamicではmask=の部分が表示されないファームのバージョンがある。そのような場合はshow ip intで確認する};
&color(red){(1)のlocal側の設定をpppより先に設定しないと、「add ip int=vlan1 ・・・」コマンド実行時以下のようなエラーが出る」};
Error (3005293): Network 210.160.237.176 already used on another interface.
''PPPoE接続確認''
Manager PPPoE(stock-cube.net)> show log
Date/Time S Mod Type SType Message
-------------------------------------------------------------------------------
14 15:11:11 4 ENCO ENCO PAC M18X Security Engine Found.
14 15:11:11 4 ENCO ENCO PAC M18X Security Engine Initialised.
14 15:11:11 3 LOG IGMP packet trapping is active for IGMP
snooping, L3FILT is activated
14 15:11:11 4 ENCO ENCO STAC STAC SW Initialised
14 15:11:11 7 SYS REST NORM Router startup, ver 2.9.1-00, 04-Dec-2006, Clock
Log: 15:09:55 on 14-Aug-2011
14 15:11:13 6 SWIT PINT UP Port4: interface is UP
14 15:11:16 6 ETH PINT UP ETH0: interface is UP
14 15:11:16 3 PPP VINT UP ppp0: Interface has come up and is able to send
and receive data
14 15:11:16 3 PPP AUTH OK ppp0: CHAP authentication over eth0-ANY
succeeded
14 15:11:16 3 IPG CIRC CONF Remote request to set ppp0 IP to 182.236.42.16
accepted
14 15:12:33 3 USER USER LON manager login on port0
-------------------------------------------------------------------------------
&color(red){''IPの設定(固定のWAN)''};
Manager > ENABLE IP
Info (1005287): IP module has been enabled.
Manager > ADD IP INT=ETH0 IP=61.115.252.55 MASK=255.255.252.0
Info (1005275): interface successfully added.
Manager > ADD IP INT=VLAN1 IP=61.122.218.214 MASK=255.255.255.248
Manager > ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=ETH0 NEXTHOP=61.115.255.254
Info (1005275): IP route successfully added.
''デフォルトルートの削除''~
デフォルトルートは上書きではなく追加なので一度削除する。
del ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=10.3.4.58
''インターフェイスIPの表示''
Manager > show ip int
Interface Type IP Address Bc Fr PArp Filt RIP Met. SAMode IPSc
Pri. Filt Pol.Filt Network Mask MTU VJC GRE OSPF Met. DBcast Mul.
VLAN Tag VLAN Priority InvArp
--------------------------------------------------------------------------------
LOCAL --- Not set - - - --- -- Pass --
--- --- Not set 1500 - --- -- --- ---
none none -
vlan1 Static 61.122.218.214 1 n On --- 01 Pass No
--- --- 255.255.255.248 1500 - --- 0000000001 No Rec
none none -
eth0 Static 61.115.252.55 1 n On --- 01 Pass No
--- --- 255.255.252.0 1500 - --- 0000000001 No Rec
none none -
--------------------------------------------------------------------------------
''ファイルの保存''
Manager > create config=dc01.cfg
Info (1034003): Operation successful.
''ファイルの確認''
Manager > show file
Filename Device Size Created Locks
-----------------------------------------------------------------------------
54281-04.rez flash 4857208 24-Mar-2007 19:48:21 0
feature.lic flash 39 24-Mar-2007 19:49:20 0
help.hlp flash 75892 24-Mar-2007 19:49:17 0
longname.lfn flash 17 15-Jun-2007 16:01:08 0
prefer.ins flash 64 24-Mar-2007 19:48:54 0
release.lic flash 32 24-Mar-2007 19:48:53 0
dc01.cfg flash 2464 25-Jul-2007 09:04:00 0
-----------------------------------------------------------------------------
''FALSHの容量表示''
Manager > show flash
''ファイル内容の表示''
Manager > show file=dc01.cfg
File : dc01.cfg
1:
2:# Command Handler configuration
3:
4:# System configuration
5:
6:# TIMEZONE configuration
7:
8:# Flash memory configuration
9:
10:# LOADER configuration
11:
12:# User configuration
13:set user=manager pass=a6d7b66b15077f4***********719b8dff priv=manager lo=yes
14:set user=manager telnet=yes desc="Manager Account"
15:
16:# TTY configuration
17:
18:# ASYN configuration
--More-- (<space> = next page, <CR> = one line, C = continuous, Q = quit)19:
''起動時のConfigファイルの指定''
設定した内容は.cfgがつくファイル名で保存して起動時に読み出すように設定する必要がある。
Manager > set config=dc01.cfg
Info (1049003): Operation successful.
&color(red){起動時初期状態に戻すには};
Manager > set config=none
boot.cfgがある製品はこの設定でboot.cfgを読み込む
''起動のConfigファイルの表示''
Manager > show config
Boot configuration file: flash:dc01.cfg (exists)
Current configuration: None
&color(red){''フィルタの指定''};
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208 DMA=255.255.255.248 AC=INCLUDE ENTRY=1 PROTO=TCP DPORT=22
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208 DMA=255.255.255.248 AC=INCLUDE ENTRY=2 PROTO=TCP DPORT=25
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208 DMA=255.255.255.248 AC=INCLUDE ENTRY=3 PROTO=TCP DPORT=53
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208 DMA=255.255.255.248 AC=INCLUDE ENTRY=4 PROTO=TCP DPORT=80
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208 DMA=255.255.255.248 AC=INCLUDE ENTRY=5 PROTO=TCP DPORT=443
#上記のままだとLANから接続したパケットの戻りを許可できないので、それを許可
ADD IP FILT=1 TY=TRAFFIC SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208 DMA=255.255.255.248 AC=INCLUDE ENTRY=6 PROTO=TCP SESSION=ESTABLISHED
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208 DMA=255.255.255.248 AC=INCLUDE ENTRY=11 PROTO=UDP DPORT=53
#UDPはSESSIONという考え方がないので、ソースポートで許可
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208 DMA=255.255.255.248 AC=INCLUDE ENTRY=12 PROTO=UDP SPORT=37
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208 DMA=255.255.255.248 AC=INCLUDE ENTRY=13 PROTO=UDP SPORT=53
ADD IP FILT=1 SO=0.0.0.0 SMA=0.0.0.0 DEST=61.122.218.208 DMA=255.255.255.248 AC=INCLUDE ENTRY=99 PROTO=ICMP
SET IP INT=ETH0 FILTER=1
''フィルタの確認''
Manager > show ip filter
IP Filters
--------------------------------------------------------------------------------
No. Filter Type
Ent. Source Port Source Address Source Mask Session Size
Dest. Port Dest. Address Dest. Mask Prot.(T/C) Options
Pattern Type Act/Pol/Pri Logging Matches
--------------------------------------------------------------------------------
1 Traffic
1 Any Any Any Any Any
22:22 192.168.200.0 255.255.255.0 TCP Any
General Include Off 0
2 --- Any Any --- Any
--- 192.168.200.0 255.255.255.0 ICMP(**/**) Any
General Include Off 0
Requests: 0 Passes: 0 Fails: 0
--------------------------------------------------------------------------------
''フィルタの削除(エントリー)''
Manager > del ip filt=1 entry=2
''フィルタの削除(フィルター番号)''~
フィルタ番号は複数同一インターフェイスに設定できないので現行のフィルタを以下のコマンドで削除。
Manager > SET IP INT=ETH0 FILTER=NONE
''フィルタ内容の変更''
SET IP FILT=1 ENTRY=4 PROTO=TCP DPORT=443
一度「SET IP INT=ETH0 FILTER=1」してると変更時は特に必要ない。~
''IPフィルターでWAN側のTELNETを拒否''
この場合はvlan1側からは接続可能になるが、vlan1にはプライベートIPを設定しているため、Internetからはアクセスされない。~
&color(red){しかし、ルータを16IPなどのルータとして使用してeth0,vlan1ともグローバルIPの時は両方のインターフェイスについてフィルタが必要};
&Color(red){注意はインターフェイスとIPは別でどこかのインターフェイスから入ったパケットはどのIPにも通過が許可されれいれば(add ip fil=1 so=0.0.0.0 ent=99 ac=include)届く)};~
fil1はインターフェイスeth0に適用で、IP:192.168.10.100に対してではない.
''fli=1''
-eth0への入力がすべてのアドレスに対してdes=192.168.10.100のICMPは許可
-eth0への入力がdes=192.168.10.100に対してすべて拒否
-eth0への入力がdes=192.168.70.1に対してすべて拒否
--(eth0から入って192.168.70.1に届くパケットを拒否)
-eth0への入力がすべてのアドレスに対して許可
''fil=2''
-vlan1への入力のso=192.168.70.0に対してdes=192.168.70.1へのtelnetは許可
-vlan1への入力のso=192.168.70.0に対してdes=192.168.10.100へのICMPは許可
-vlan1への入力がdes=192.168.10.100に対してすべて拒否
-vlan1への入力がdes=192.168.70.1に対してすべて拒否
-vlan1への入力がすべてのアドレスに対して許可
add ip fil=1 so=0.0.0.0 ent=1 des=192.168.10.100 ac=include prot=icmp
add ip fil=1 so=0.0.0.0 ent=51 des=192.168.10.100 ac=exclude
add ip fil=1 so=0.0.0.0 ent=52 des=192.168.70.1 ac=exclude
add ip fil=1 so=0.0.0.0 ent=99 ac=include
add ip fil=2 so=192.168.70.0 ent=1 sm=255.255.255.0 des=192.168.70.1 ac=include prot=tcp dp=telnet
add ip fil=2 so=192.168.70.0 ent=2 sm=255.255.255.0 des=192.168.10.100 ac=include prot=icmp
add ip fil=2 so=0.0.0.0 ent=51 des=192.168.10.100 ac=exclude
add ip fil=2 so=0.0.0.0 ent=52 des=192.168.70.1 ac=exclude
add ip fil=2 so=0.0.0.0 ent=99 ac=include
add ip int=eth0 ip=192.168.10.100 fil=1
add ip int=vlan1 ip=192.168.70.1 fil=2
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=192.168.10.245
|
|
V eth0
---------------
| AR415S | |
---------------
V ^ vlan1
| |
----
&color(red){このように回り込んでのtelnetの接続もできるので両インターフェイスでフィルタが必要};
PPPの時はインターフェイスはppp0になる
''HTTPポートについて''
HTTPポートはサポートしていないにも関わらず、アクセスするとパスワード認証の画面が表示されるので、それを表示しないようにする
DISABLE HTTP SERVER
***ファイアウォールの設定方法 [#b97cac8a]
IPフィルタでは内部からのパケットの戻りや、UDPの接続に気をつかわないといけないが、ファイアウォールではその点は考える必要がなくなる
''・ファイアウォールの有効''~
enable firewall
''・ファイアウォールポリシー「net」を作成(ポリシー名は任意)''~
create firewall policy="net"
''・各IPインターフェイスの属性を定義(Private/Public)''~
PUBLIC(外部)とPRIVATE(内部)がある。ファイアウォールの基本ルールでは、PRIVATEからPUBLICへのパケットはすべて通すが、PUBLICからPRIVATEへのパケットはすべて遮断する。~
この基本ルールをもとに、ADD FIREWALL POLICY RULEコマンドで独自のルール(通過、遮断など)を追加し、ファイアウォールの動作をカスタマイズする
add firewall policy="net" int=vlan1 type=private
add firewall policy="net" int=eth0 type=public
pppoeのときは「int=ppp0」等になる
''・インターフェイス間でのICMP転送は許可''
enable firewall policy="net" icmp_f=all
''・ident、tcp代理応答を無効化''
disable firewall policy="net" identproxy
disable firewall policy="net" tcpsetupproxy
以上がファイアウォールの基本設定で、ここまでの設定によって~
Private->Public への通信は全て許可、Publi->Privateへの通信は~
全て遮断する動作となる。~
この基本動作と異なる条件を付与する場合、ファイアウォールルールを追加。
''・WAN -> LAN方向への 61.122.218.208/29 TCP 22 宛通信を許可するルール1を作成''
add firewall policy="net" rule=1 ac=allow int=eth0
prot=tcp po=22 ip=61.122.218.208-61.122.218.215
''・WAN -> LAN方向への 61.122.218.208/29 UDP 53 宛通信を許可するルール2を作成''
add firewall policy="net" rule=2 ac=allow int=eth0
prot=udp po=53 ip=61.122.218.208-61.122.218.215
''・pptpパススルー''~
ファームのバージョンが2.9.1-05以降は1行それ以前は2行必要。~
確認は # show system
2.9.1-05以降
add firewall policy="net" rule=3 ac=allow int=eth0
prot=tcp po=pptp ip=61.122.218.208-61.122.218.215
2.9.1-05より前
add firewall policy="net" rule=3 ac=allow int=eth0
prot=tcp po=1723 ip=61.122.218.208-61.122.218.215
add firewall policy="net" rule=4 ac=allow int=eth0
prot=47 ip=61.122.218.208-61.122.218.215
注)2.9.1-05より前ではpptpのポートは番号1723で指定しGREプロトコルは番号で47で指定する必要がある。ポート名やプロトコル番号は不可また、GREはポート番号はない。
''現在の設定の確認''
Manager > show config dynamic
# Command Handler configuration
# System configuration
# TIMEZONE configuration
# Flash memory configuration
# LOADER configuration
# User configuration
set user=manager pass=************************** priv=manager lo=yes
set user=manager telnet=yes desc="Manager Account"
# TTY configuration
(略)
# GRE configuration
# IP configuration
enable ip
add ip int=vlan1 ip=xxx.xxx.xxx.214 mask=255.255.255.248
add ip int=eth0 ip=xxx.xxx.252.55 mask=255.255.252.0
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=xxx.xxx.xxx.254
# IPv6 configuration
# SWITCH (post-IP) configuration
(略)
# Firewall configuration
enable firewall
create firewall policy="net"
disable firewall policy="net" identproxy
enable firewall policy="net" icmp_f=all
disable firewall policy="net" tcpsetupproxy
add firewall policy="net" int=vlan1 type=private
add firewall policy="net" int=eth0 type=public
add firewall poli="net" ru=1 ac=allo int=eth0 prot=tcp po=22
ip=yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx
add firewall poli="net" ru=2 ac=allo int=eth0 prot=tcp po=25
ip=yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx
add firewall poli="net" ru=3 ac=allo int=eth0 prot=tcp po=53
ip=yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx
add firewall poli="net" ru=4 ac=allo int=eth0 prot=tcp po=80
ip=yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx
(略)
''例えばipの現在の状態の表示''
Manager > show config dynamic=ip
# IP configuration
enable ip
add ip int=vlan1 ip=xxx.xxx.xxx.214 mask=255.255.255.248
add ip int=eth0 ip=xxx.xxx.xxx.xxx mask=255.255.252.0
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=xxx.xxx.xxx.xxx
''firewallの削除''
# DELETE FIREWALL POLICY="net" rule=101
''K校の設定''
Manager > show config dynamic
# Command Handler configuration
(略)
# User configuration
set user=manager pass=**************************** priv=manager lo=yes
set user=manager telnet=yes desc="Manager Account"
# TTY configuration
(略)
# Sec Associations configuration
# VLAN general configuration
create vlan="vlan10" vid=10
create vlan="vlan20" vid=20
# VLAN port configuration
add vlan="10" port=1-2
add vlan="20" port=3-4
# IGMP Snooping configuration
(略)
# GRE configuration
# IP configuration
enable ip
ena ip dnsrelay
add ip fil=1 so=0.0.0.0 ent=1 des=192.168.2.0 dm=255.255.255.0 ac=exclude
add ip fil=1 so=0.0.0.0 ent=2 ac=include
add ip fil=2 so=0.0.0.0 ent=1 des=192.168.1.0 dm=255.255.255.0 ac=exclude
add ip fil=2 so=0.0.0.0 ent=2 ac=include
add ip int=vlan10 ip=192.168.1.254 fil=1
add ip int=vlan20 ip=192.168.2.254 fil=2
add ip int=eth0 ip=xxx.xxx.xxx.xxx mask=255.255.248.0
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=yyy.yyy.yyy.yyy
add ip dns prim=zzz.zzz.zzz.zzz seco=aaa.aaa.aaa.aaa
(略)
# INT configuration
# Firewall configuration
enable firewall
create firewall policy="net2"
disable firewall policy="net2" identproxy
enable firewall policy="net2" icmp_f=all
disable firewall policy="net2" tcpsetupproxy
add firewall policy="net2" int=vlan10 type=private
add firewall policy="net2" int=vlan20 type=private
add firewall policy="net2" int=eth0 type=public
add firewall poli="net2" nat=enhanced int=vlan10 gblin=eth0
add firewall poli="net2" nat=enhanced int=vlan20 gblin=eth0
add firewall poli="net2" ru=1 ac=allo int=eth0 prot=tcp po=22 ip=192.168.2.252 gblip=xxx.xxx.xxx.xxx gblp=22
set firewall poli="net2" ru=1 rem=bbb.bbb.bbb.1-bbb.bbb.bbb.254
# ==== http, httpsのポートフォアードを追加 (09'12) ====
# httpはすべてOK
add firewall poli="net2" ru=2 ac=allo int=eth0 prot=tcp po=80 ip=192.168.2.252 gblip=xxx.xxx.xxx.xxx gblp=80
# hhtpsはすべてOK
add firewall poli="net2" ru=3 ac=allo int=eth0 prot=tcp po=443 ip=192.168.2.252 gblip=xxx.xxx.xxx.xxx gblp=443
(略)
# HTTP configuration
disable http server
(略)
''新たに接続許可アドレスやポートの追加''
add firewall poli="net2" ru=5 ac=allo int=eth0 prot=tcp po=22 ip=192.168.2.252 gblip=xxx.xxx.xxx.xxx gblp=22 rem=ddd.ddd.ddd.ddd
''コマンドプロンプトに文字表示''
Manager >set system name="ISM_Router"
Manager ISM_Router>
***ポートVlan間の通信 [#ld968066]
|
|
|IP xxx.xxx.xxx.xxx
--------------------
| AR415S |
--------------------
|vlan10 |vlan20 ------------
| |---------| Webサーバ|
| | ------------
| 192.168.2.0/24 192.168.2.252
192.168.1.0/24
この構成で、vlan10(192.168.1.0/24) と vlan20(192.168.2.0/24)~
間の通信を以下の要件で抑制するものとします。
-TCP通信... vlan20 から vlan10 に開始する通信を遮断する
-ICMP通信... vlan20 から valn10 へのPING要求を遮断する~
(vlan10からのPing要求に対する応答は許可されます)
-UDP通信 ... 送信元ポートが53番のみを許可する
vlan10からvlan20への通信を許可し、vlan20からvlan10の通信は遮断する
TCPにいついてはセッションを張るのにセッション開始1番目のパケットの¥TCP の falgで SYNbitが1がたっているためこのパケットを落とすことで実現してる。よってUDPについては利用できないためポートで切断している
既存のフィルター条件を修正しますので、以下コマンドで
事前にフィルター条件を削除しておきます。
set ip int=vlan10 filter=none
set ip int=vlan20 filter=none
delete ip filter=1 entry=1
delete ip filter=1 entry=2
delete ip filter=2 entry=1
delete ip filter=2 entry=2
・TCP通信についてのエントリー。
192.168.2.0/24 から 192.168.1.0/24 へ開始する通信(session=start)
を遮断(exclude)します。
add ip filter=2 entry=1 so=192.168.2.0 sm=255.255.255.0 dest=192.168.1.0
dm=255.255.255.0 prot=tcp session=start ac=exclude
・ICMP通信についてのエントリー。
192.168.2.0/24 から 192.168.1.0/24 へのPing要求(ECHO)のみを
遮断します。
add ip filter=2 entry=2 so=192.168.2.0 sm=255.255.255.0 dest=192.168.1.0
dm=255.255.255.0 prot=icmp icmptype=echo ac=exclude
・UDP通信についてのエントリー
192.168.2.0/24 から送信元ポートが53番の場合のみ許可します。
add ip filter=2 entry=3 so=192.168.2.0 sm=255.255.255.0 dest=192.168.1.0
dm=255.255.255.0 prot=udp sp=53 ac=include
add ip filter=2 entry=4 so=192.168.2.0 sm=255.255.255.0 dest=192.168.1.0
dm=255.255.255.0 prot=udp ac=exclude
・上記以外の通信についてのエントリー
上記1〜4 の条件に合致しないパケットは許可します。
add ip filter=2 entry=5 so=0.0.0.0 ac=include
・作成したフィルター「2」をvlan20 に適用します。
set ip int=vlan20 filter=2
***VLAN [#o16136fc]
''ポートVLAN''~
&color(red){ポートVLANではL2レベルで切れていて、L3レベルではつながり、それをフィルタで切っているだけなのでIPレベルではテーブルがあるようだ};
VLANを作成このとき&color(red){VLAN名はvlanxxは特別な名前のためVID=xxとxxのところを一致させる。};このときVLAN名が「vlan」ではじまらないたとえば iseだったりするとVIDは任意の数値でよい
CREATE VLAN=vlan10 VID=10
CREATE VLAN=vlan20 VID=20
VLANをLANポートにマッピング
ADD VLAN=vlan10 PORT=1-2
ADD VLAN=vlan20 PORT=3-4
vlanにIPアドレスをマッピングただし同一IPは不可
ADD IP INT=vlan10 IP=192.168.1.254 MASK=255.255.255.0
ADD IP INT=vlan20 IP=192.168.2.254 MASK=255.255.255.0
FIREWALLを作成するこのときポリシーをVLANごとに作成する作成すればいいと思ったが、FIREWALLのPOLICY間の定義がないの以下のようなWarningが出た。
Manager >
Warning (2077257): 04-Aug-2008 16:03:21
192.168.2.150 attempting to use non-policy interface.
Manager >
Info (1077257): 04-Aug-2008 16:04:32
192.168.2.150 stopped attempts to use non-policy interface.
Info (1077257): 04-Aug-2008 16:04:32
192.168.2.150 stopped attempts to use non-policy interface.
以下の設定はだめ。
ENABLE FIREWALL
CREATE FIREWALL POLICY=net1
CREATE FIREWALL POLICY=net2
そこでPOLICYをひとつにして、両方のVLANを同じPOLICYを適用し、VLAN間はipfilterでアクセスを拒否する。
ENABLE FIREWALL
CREATE FIREWALL POLICY=net1
DISABLE FIREWALL POLICY=net1 IDENTPROXY
disable firewall policy="net1" tcpsetupproxy
LANとWAN側を指定
ADD FIREWALL POLICY=net1 INT=vlan10 TYPE=PRIVATE
ADD FIREWALL POLICY=net1 INT=vlan20 TYPE=PRIVATE
ADD FIREWALL POLICY=net1 INT=eth0 TYPE=PUBLIC
ICMPを許可
enable firewall policy="net1" icmp_f=all
マルチNATを設定
ADD FIREWALL POLICY=net1 NAT=ENHANCED INT=vlan10 GBLINT=eth0
ADD FIREWALL POLICY=net1 NAT=ENHANCED INT=vlan20 GBLINT=eth0
ポートフォーワードの設定~
アクセス許可アドレス:192.168.100.1-192.168.100.254~
ポート:22~
フォーワード先IP:192.168.1.252
ADD FIREWALL POLICY=net1 RULE=1 AC=ALLOW INT=eth0 PROTO=TCP \
GBLIP=192.168.10.200 GBLPORT=22 IP=192.168.1.252 PORT=22 REMOTEIP=192.168.100.1-192.168.100.254
ifフィルタの設定(VLAN10とVLAN20の通信を遮断)~
VLANで分離してもルータのインターフェイスにそれぞれのネットワークの口があるので~
ルーティング情報があるため通信できるそれをフィルタで遮断する。~
VLAN20にはVLAN10からフィルタがないと通信できる。VALN10とVLAN20は別LANに過ぎずルータ接続しているだけ。
------------------------
| |
| VLAN10<-->VLAN20 |
----+----------+--------
|DG/W |DG/W
| |
あて先が192.168.2.0/24のパケットは通さない
add ip fil=1 so=0.0.0.0 ent=1 des=192.168.2.0 dm=255.255.255.0 ac=exclude
あて先が192.168.2.0/24以外のパケットは通過する。そうしないとeth0にパケットが流れない。
add ip fil=1 so=0.0.0.0 ent=2 ac=include
add ip fil=2 so=0.0.0.0 ent=1 des=192.168.1.0 dm=255.255.255.0 ac=exclude
add ip fil=2 so=0.0.0.0 ent=2 ac=include
add ip int=vlan10 ip=192.168.1.254 fil=1
add ip int=vlan20 ip=192.168.2.254 fil=2
''タグVLAN''~
それぞれのルータのポート1にvlan10ポート2,3にvlan20を割り振りvlan接続にポート4を使用する。
Internet
|
|
--+-------------------------------
| | | ルータA |
| etho | 4 3 2 1 |
-------------+----+---+----+------
| | | |
| vlan20 |
| vlan10
|
|
|
-------------+--------------------
|ルータB 4 |
| 3 2 1 |
------------------+---+----+------
| | |
| | vlan10
vlan20
''構成図''
CREATE VLAN=vlan10 VID=10
CREATE VLAN=vlan20 VID=20
ポート4にはvlan10とVlan20両方パケットが流れるので両方追加するこのときタグをつけるので、FRAME=TAGGED を指定
ADD VLAN=vlan10 PORT=1
ADD VLAN=vlan10 PORT=4 FRAME=TAGGED
ADD VLAN=vlan20 PORT=2-3
ADD VLAN=vlan20 PORT=4 FRAME=TAGGED
このときタグVLANはこれで利用できるがeth0からWANに出るためためにそれぞれに属するPCのゲートウェイをルータAのvlan10とvlan20に設定する必要がある
ADD IP INT=vlan10 IP=192.168.1.254 MASK=255.255.255.0
ADD IP INT=vlan20 IP=192.168.2.254 MASK=255.255.255.0
これでvlan10のPCゲートウェイは192.168.1.254 vlan20は192.168.2.254になる
**Log [#s42a0eab]
Logでわかる例
> show log
-ポリシー違反のパケットが流れてきている
21 09:17:34 4 FIRE FIRE ATTK 21-Aug-2013 09:17:34 202.91.148.251 stopped
attempts to use non-policy interface
-DOS攻撃を受信中
Warning (2077257): 21-Aug-2013 09:26:38
Denial of service attack from 186.136.183.36 is underway.
-DOS攻撃が終了
Info (1077257): 21-Aug-2013 09:31:23
Denial of service attack from 187.162.230.170 is finished.
-何らかのパケットが流れてきている
21 09:09:18 4 FIRE FIRE ATTK 21-Aug-2013 09:09:18 Host scan from
192.168.82.245 is finished
**AR415S設定ファイル転送(ZMODEM) [#s4019388]
ZMODEMでPCとシリアルで転送
''AR415SからPCに''
Manager > upload file=ctc2swf.cfg method=zmodem asyn=0**B00000000000000
(TearaTerm側で ファイル → 転送 → ZMODEM → 受信)
Info (1048310): Upload initiated.
Info (1048270): File transfer successfully completed
'' PCからAR415Sに''
Manager > load method=zmodem asyn=0 destination=flash
(TearaTerm側で ファイル → 転送 → ZMODEM → 送信)
Router ready to begin ZMODEM file transfers ...
B0100000023be50~
Info (1048293): ZMODEM, session over.
ところでファイルはteratermカレントディレクトリに指定されている場合は
C:\Users\z13195\AppData\Local\VirtualStore\Program Filesの下のteartermにDLされる
**AR415S SNMPでのポートとの関係 [#w14a96b3]
''snmpエージェント設定''
-マネージャー:192.168.10.66
# SNMP configuration
enable snmp
create snmp community=public
add snmp community=public manager=192.168.10.66
Manager > show interface
Interfaces sysUpTime: 00:05:43
DynamicLinkTraps.....Disabled
TrapLimit............20
Number of unencrypted PPP/FR links.....1
ifIndex Interface ifAdminStatus ifOperStatus ifLastChange
------------------------------------------------------------------------------
1 eth0 Up Up 00:00:02
2 bri0 Up Down 00:00:00
3 pri0 Up Down 00:00:00
4 ppp0 Up Down 00:05:41
------------------------------------------------------------------------------
ifIndex がmrtg.cfgでのTARGETで指定する番号
Target[localhost_2]: 2:private@localhost:
の:2:privateのたとえば2の部分
***AR415S SNMP応答 [#e9962411]
Linux(マネージャ)より確認
-AR415S : 192.168.10.100
# snmpwalk -v 2c -c public 192.168.10.100 | more
SNMPv2-MIB::sysDescr.0 = STRING: CentreCOM AR415S version 2.9.2-09 21-Aug-2012
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.207.1.1.71
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (15280) 0:02:32.80
SNMPv2-MIB::sysContact.0 = STRING:
SNMPv2-MIB::sysName.0 = STRING:
SNMPv2-MIB::sysLocation.0 = STRING:
SNMPv2-MIB::sysServices.0 = INTEGER: 4
略
**参考 [#j6511e4c]
[[マニュアル:http://www.allied-telesis.co.jp/support/list/router/ar415s/manual.html]]
![[PukiWiki]](image/../localimages/Atom.gif "[PukiWiki]")
