こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

RTX1000でのポート解放について。

NTT西日本Bフレッツで接続しています。
現状のconfigは

ip route default gateway pp 1
ip lan1 address 192.168.1.200/24
ip lan1 nat descriptor 2
ip lan2 secure filter in 200017 200018
ip lan2 secure filter out dynamic 200098 200099
ip lan2 intrusion detection in on reject=on
ip lan2 intrusion detection out on reject=on
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ID PAWWRD
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1438
ip pp nat descriptor 1
pp enable 1
ip filter 200014 pass * * icmp * *
ip filter 200015 pass * * established * *
ip filter 200016 pass * * tcp * ident
ip filter 200017 pass * 192.168.1.201 tcp * 26508
ip filter 200018 pass * 192.168.1.201 udp * 26508
ip filter 200099 pass * * * *
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1 masquerade
syslog debug on
dhcp service server
dhcp scope 1 192.168.1.201-192.168.1.254/24
dns server pp 1
dns private address spoof on
httpd host 192.168.1.1-192.168.1.254
としています。
ip filter 200017 pass * 192.168.1.201 tcp * 26508
ip filter 200018 pass * 192.168.1.201 udp * 26508
で特定ポートを解放しているつもりですが。。。

ip lan2 secure filter in 200017 200018
で設定も反映しています。
どこが間違っているかご教示頂きたいと存じます。

投稿日時 - 2009-03-02 09:42:04

QNo.4761315

すぐに回答ほしいです

このQ&Aは役に立ちましたか?

20人が「このQ&Aが役に立った」と投票しています

回答(20)

ANo.20

No18補足> pingの疎通はありました。

DMZ⇒LANおよびLAN⇒DMZの両方向ともpingが通ったということでしょうか?


No18補足> 2009/03/30 06:27:02: [INSPECT] PP[01][out][101] TCP 192.168.10.2:49375 > 118.214.10.84:80 (2009/03/30 06:22:13)
No18補足> 2009/03/30 06:27:12: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:62883 > 192.168.1.4:161
No18補足> とログが残っておりました。

1行目はDMZからWAN向けのhttp(80)アクセスが通過したというログなので関係しません。

2行目の[192.168.1.4:161]宛てのパケットはkuroizellさんの云われるとおり
SNMPというプロトコルの通信になりますので、意図した通信でなければ無視
で良いですが必要なら通過フィルタを追加してください。(rejectされてます)



No18補足> 疎通があるという事はやはりご指摘の通りルーティングの問題なのでしょうか?

時間的な余裕ができたので手元のRTX1100に同じ設定をして動作させてみました。
その環境ではNo.15の補足欄に書かれたconfigでDMZ⇒LAN間の方向で疎通
pingおよびファイル共有ともに可能でした。よってconfigだけ(※)の問題ではなく
ルーティングの方法に問題ありと考えます。
(※意味深な書き方をしていますが、ルーティングの設定もconfig次第なので…)



No18補足> ルータに対する変更はあまりしたくないので(2)で対応可能であればと考えています。

192.168.1.3のデフォルトGWの指定を192.168.1.200に設定して、現状が満足できる
動作ならば、そのままで問題ないと思います。

今回、LANに流れるべきパケットがWANに流れてrejectされた理由ははっきりしません。
私が作った環境では事象を再現できませんでした。2つのWAN向けルータ間でRIPが妙な
動作をしてRTX側のルーティングテーブルに影響したのではないかと推測しています。


kuroizellさんと同様な確認になりますが…
192.168.1.Xのパソコンのゲートウェイ設定を変えて実現したいことができているでしょうか?
もしまだこれが通らないとかあれば、事象(ログ等)とConfigをあげてもらえますか?

投稿日時 - 2009-04-03 00:03:07

ANo.19

invalidさんのご親切に敬意を表しつつ・・・

httpへのpingは通るけどブラウズできないのでしょうか?
それともpcAnyWhereが相変わらずダメなのでしょうか?
今出来る事と出来ない事(のログ)をまとめてみて下さい。

httpへのpingは通るけどブラウズできない場合、NATの可能性もあります。
疎通はちゃんと出来てるのにブラウズ出来なかったケースとして、NATで弾かれるケースがありました。
NATのinnerアドレスをAutoにしていたら問題ないハズですので、今回は違うかもしれませんが・・・
nat descriptor log on、syslog debug onで表示されます。
尚、この時表示されるのはグローバルIPなので、マシンのプライベートIPをgrepしてもつかめません。

> LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:62883 > 192.168.1.4:161
SNMPは今回関係ありますか?

投稿日時 - 2009-03-30 15:33:09

ANo.18

> 192.168.1.3はGWの指定を192.168.1.1にしております。
> (外部への通信する出口は2種類あります。
> 192.168.1.1と192.168.1.200(固定固定IPを取得)

出口が2つあってもルーティングが正しくされていれば問題ないです。
その指定には3つ方法があります。
(1)192.168.1.1のルータに
192.168.10.0/24向けのパケットは192.168.1.200に送るようルートを設定する(静的ルーティング)
(2)192.168.1.xのPC全てに
192.168.10.0/24向けのパケットは192.168.1.200に送るようルートを設定する(静的ルーティング)
(3)ルータ間(192.168.1.1と192.168.1.200)でRIPの送受信を行なうよう設定し、動的ルーティングをさせる。

DMZ(192.168.10.2)からLAN(192.168.1.3)にパケットが行かないのとは
関係しない気がしますが、LAN(192.168.1.3)からDMZ(192.168.10.2)に
戻るべきパケットが戻らないので、上記のどれかで正しくしておくのが
良いと思います。


以下、補足をお願いします。
192.168.1.3のGWの指定を192.168.1.200に仮に設定して
192.168.1.3(LAN)から192.168.10.2(DMZ)へpingを行なったときに
正しく返ってきますか?
(rejectされていたらログをつけてください)

投稿日時 - 2009-03-29 20:52:04

補足

invalid様。おはようございます。
ご指示頂きました通り、
192.168.1.3のGWの指定を192.168.1.200に仮に設定して
致しました。
pingの疎通はありました。
2009/03/30 06:27:02: [INSPECT] PP[01][out][101] TCP 192.168.10.2:49375 > 118.214.10.84:80 (2009/03/30 06:22:13)
2009/03/30 06:27:12: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:62883 > 192.168.1.4:161
とログが残っておりました。
疎通があるという事はやはりご指摘の通りルーティングの問題なのでしょうか?
ルータに対する変更はあまりしたくないので
(2)で対応可能であればと考えています。

投稿日時 - 2009-03-30 06:24:40

ANo.17

> 1210番でポート26508を設定していますが
> と云う事は1031番は不要と判断してよろしいのでしょうか?

1210はLAN3ポートからルータに入ってくるのを許可するフィルタで
1031はWAN(LAN2ポート)からルータに入ってくるのを許可するフィルタです。
目的が異なるので不要ではありません。


show ip routeの結果のこの1行のルーティングがあるので
> 192.168.1.0/24 192.168.1.200 LAN1 implicit
192.168.1.3宛ての下記パケットがPP01に向かうことは無いはずなのですが…
> 2009/03/29 00:48:42: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:58832 > 192.168.1.3:445
> 2009/03/29 00:48:42: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:58837 > 192.168.1.3:139
何故かPP01でフィルタリングされますね。

pingやpcAnywhereなどの通信はDMZ(LAN3)からLAN1に飛ぶのでしょうか?

投稿日時 - 2009-03-29 17:15:19

お礼

お世話になります。
192.168.10.2から192.168.1.3や192.168.1.1には
pingもpcAnywhereも通らないです。

補足ですが
192.168.1.3はGWの指定を192.168.1.1にしております。
GROUPはMSHOMEで統一しておりますが。。
もしかするとこの構成がまずいのでしょうか?
(外部への通信する出口は2種類あります。
192.168.1.1と192.168.1.200(固定固定IPを取得)

投稿日時 - 2009-03-29 18:50:18

ANo.16

追加で補足要求です。
192.168.10.2のサーバでデフォルトゲートウェイとして
設定してあるアドレスを補足願います。

投稿日時 - 2009-03-29 12:14:11

ANo.15

> 2009/03/29 00:42:33: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:26508 > 80.218.239.138:38463
> 2009/03/29 00:42:33: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:26508 > 81.196.88.25:24328

26508の通信がTCPだけでなくUDPもあるのですね。
# ip filter 1210 pass * * tcp,udp 26508 *
1210番のフィルタにudpを追加すればよいです。
1211番のフィルタが必要?かどうか分かりませんが
インターネット側にも同じポートのサーバがあるならば
そちらもudpを追加してください。

> 2009/03/29 00:48:42: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:58832 > 192.168.1.3:445
> 2009/03/29 00:48:42: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:58837 > 192.168.1.3:139

こちらはフィルタの問題よりもルーティングの問題ですね。
通常ルータに直接つながっているセグメント(192.168.1.xと192.168.10.x)
へのルーティングは暗黙で追加されるはずですが、LAN1向けの
パケットがWAN側に出て行こうとしています。
(kuroizell様が一旦指摘されていましたが…)

ルーティングテーブルが正しいかどうか確認したいので
# show ip route
で取得したルーティング情報と最新のConfigを補足してください。

投稿日時 - 2009-03-29 12:08:47

補足

invalid様。お休みにも関わらずありがとうこございます。
最新のconfigです。
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.200/24
ip lan3 address 192.168.10.1/24
ip lan3 secure filter in 1101 1102 1103 1104 1105 1201 1202 1203 1204 1205 1206
1207 1208 1209 1210 2000
ip lan3 secure filter out 3000 dynamic 100 101
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ********* *********
ppp lcp mru on 1454
ppp ipcp msext on
ip pp address ***.***.***.***
ip pp mtu 1438
ip pp secure filter in 1031 1032 1033 1034 2000 dynamic 202 203
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102
103 104 105 106
ip pp intrusion detection in on
ip pp nat descriptor 1
pp enable 1
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.1.0/24 *
ip filter 1031 pass * 192.168.10.2 tcp * 26508
ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21
ip filter 1033 pass * 192.168.10.2 udp * 26508
ip filter 1034 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * www
ip filter 1101 pass * 192.168.1.0/24 icmp
ip filter 1102 pass * 192.168.1.0/24 udp,tcp netbios_ns-netbios_ssn,445 *
ip filter 1103 pass * 192.168.1.0/24 udp,tcp * netbios_ns-netbios_ssn,445
ip filter 1104 pass * 192.168.1.0/24 tcp 5631
ip filter 1105 pass * 192.168.1.0/24 udp 5632
ip filter 1201 pass * * icmp * *
ip filter 1202 pass * * established * *
ip filter 1203 pass * * tcp * ident
ip filter 1204 pass * * tcp ftpdata *
ip filter 1205 pass * * tcp,udp * domain
ip filter 1207 pass * * udp * ntp
ip filter 1209 pass * * tcp * www,https
ip filter 1210 pass * * tcp,udp 26508 *
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 202 * 192.168.10.3 ftp
ip filter dynamic 203 * 192.168.10.3 www
nat descriptor type 1 masquerade
nat descriptor address outer 1 210.48.233.217
nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508
nat descriptor masquerade static 1 2 192.168.10.2 udp 26508
nat descriptor masquerade static 1 3 192.168.10.3 tcp 21
nat descriptor masquerade static 1 4 192.168.10.3 tcp www
syslog notice on
tftp host any
dhcp service server
dhcp scope 1 192.168.1.201-192.168.1.254/24
dns server ***.***.***.***
dns private address spoof on
httpd host 192.168.1.1-192.168.1.254 192.168.10.2

1210番でポート26508を設定していますが
と云う事は1031番は不要と判断してよろしいのでしょうか?

#show ip routeですが
# show ip route
Destination Gateway Interface Kind Additional Info.
default - PP[01] static
***.**.***.**/32 - PP[01] temporary
***.***.***.***/32 - PP[01] temporary
192.168.1.0/24 192.168.1.200 LAN1 implicit
192.168.10.0/24 192.168.10.1 LAN3 implicit
***.**.***.***/32 - PP[01] implicit
***.***.**.*/32 - PP[01] temporary
となっており192.168.10.2のGW設定は
IPv4 アドレス . . . . . . . . . . : 192.168.10.2
サブネット マスク . . . . . . . . : 255.255.255.0
デフォルト ゲートウェイ . . . . . : 192.168.10.1
DNS サーバー. . . . . . . . . . . : 192.168.10.1
と設定しおります。

投稿日時 - 2009-03-29 15:35:05

ANo.14

LAN3ポートのINフィルタなので、DMZからWAN/LANに出て行くフィルタを設定します
> ip filter 1201 pass * * icmp * *
> ip filter 1202 pass * * established * *
> ip filter 1203 pass * * tcp * ident
> ip filter 1204 pass * * tcp ftpdata *
> ip filter 1205 pass * * tcp,udp * domain
> ip filter 1206 pass * * udp domain *
↑DMZにDNSサーバがなければ1206は不要
> ip filter 1207 pass * * udp * ntp
> ip filter 1208 pass * * udp ntp *
↑DMZにNTPサーバがなければ1208は不要

DMZからWANにブラウザで出て行くならば
# ip filter 1209 pass * * tcp * 80,443
があった方がよいと思います。

あと26508ポートのサーバからの返りも必要なので
# ip filter 1210 pass * * tcp 26508 *
が必要だと思います。

足りないものがあればログにrejectされた内容が表示されるので
必要かどうか判断しながら上記のように追加していくことで
問題ないと思います。

投稿日時 - 2009-03-27 23:37:23

補足

invalid様。ありがとうございます。
ご教示頂きましたのを参考に設定してみました。
ip lan3 secure filter in 1101 1102 1103 1104 1105 1201 1202 1203 1204 1205 1206 1207 1208 1209 1210 1211 2000
ip lan3 secure filter out 3000 dynamic 100 101

ip filter 1101 pass * 192.168.1.0/24 icmp
ip filter 1102 pass * 192.168.1.0/24 udp,tcp netbios_ns-netbios_ssn,445 *
ip filter 1103 pass * 192.168.1.0/24 udp,tcp * netbios_ns-netbios_ssn,445
ip filter 1104 pass * 192.168.1.0/24 tcp 5631
ip filter 1105 pass * 192.168.1.0/24 udp 5632
ip filter 1201 pass * * icmp * *
ip filter 1202 pass * * established * *
ip filter 1203 pass * * tcp * ident
ip filter 1204 pass * * tcp ftpdata *
ip filter 1205 pass * * tcp,udp * domain
ip filter 1207 pass * * udp * ntp
ip filter 1209 pass * * tcp * www,https
ip filter 1210 pass * * tcp 26508 *
ip filter 1211 pass * * tcp * 26508
と致しましたが
2009/03/29 00:42:33: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:26508 > 80.218.239.138:38463
2009/03/29 00:42:33: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:26508 > 81.196.88.25:24328
\\192.168.1.3\を実行すると
2009/03/29 00:48:42: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:58832 > 192.168.1.3:445
2009/03/29 00:48:42: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:58837 > 192.168.1.3:139
とrejectされてしまいます。
secure filterの設定が間違っているでしょうか?

投稿日時 - 2009-03-29 00:46:59

ANo.13

LAN3(DMZ)からWANに出て行けないのも、ファイル共有で引っかかるのも
LAN3にかけたフィルタの問題です。

> ip lan3 secure filter in 1101 1102 1103 2000
> ip lan3 secure filter out 3000 dynamic 100 101
> ip filter 1101 pass * 192.168.1.0/24 icmp
> ip filter 1102 pass * 192.168.1.0/24 udp,tcp 445 *
> ip filter 1103 pass * 192.168.1.0/24 udp,tcp * 445
> ip filter 2000 reject * *
> ip filter 3000 pass * *
> ip filter dynamic 100 * * ftp
> ip filter dynamic 101 * * www


まずDMZからWANに出て行けない問題ですが、上記の設定では
WANからftpかwwwのアクセスがあった場合に
対するレスポンスでしかDMZ⇒WANにはパケットが出て行けません。
(100,101のdynamicフィルタによって制御されます)

DMZからWANにアクセスできるリストを追加するか、
LAN3のフィルタを外してしまうのがよいかと思います。
(LAN3のフィルタを外してもWAN側PPのフィルタがかかっています)

追加するならば以下のように許可したい通信を指定してください。
以下例です。
ip lan3 secure filter in 1101 1102 1103 1201 1202 1203 2000    ⇒1201~1203を追加
ip filter 1201 pass * * icmp      ⇒pingを許可
ip filter 1202 pass * * tcp       ⇒tcpを全て許可(例です)
ip filter 1203 pass * * udp       ⇒udpを全て許可(例です)

※全て許可するくらいならばLAN3にフィルタをかける意味はないですが…


次にDMZからLANへのファイル共有ですが、
MSのファイル共有は445番ポートのみではありません、
netbios_ns-netbios_ssnと表記されるポート137~139も
使う場合があります。

よって1102番,1103番のフィルタで通すサービスを変更する必要があります。
以下例です。
ip filter 1102 pass * 192.168.1.0/24 udp,tcp netbios_ns-netbios_ssn,445 *
ip filter 1103 pass * 192.168.1.0/24 udp,tcp * netbios_ns-netbios_ssn,445

場合よっては135(リモート管理で利用)も追加する必要があるかもしれません。

投稿日時 - 2009-03-27 00:04:53

お礼

invalid様。何時もありがとうございます。
LAN3の部分だけ机上ですが再度修正してみました。

ip filter 1101 pass * 192.168.1.0/24 icmp
ip filter 1102 pass * 192.168.1.0/24 udp,tcp netbios_ns-netbios_ssn,445 *
ip filter 1103 pass * 192.168.1.0/24 udp,tcp * netbios_ns-netbios_ssn,445
ip filter 1104 pass * 192.168.1.0/24 tcp 5631
↑pcAnywareのポート
ip filter 1105 pass * 192.168.1.0/24 udp 5632
↑pcAnywareのポート

ip filter 1201 pass * * icmp * *
ip filter 1202 pass * * established * *
ip filter 1203 pass * * tcp * ident
ip filter 1204 pass * * tcp ftpdata *
ip filter 1205 pass * * tcp,udp * domain
ip filter 1206 pass * * udp domain *
ip filter 1207 pass * * udp * ntp
ip filter 1208 pass * * udp ntp *

ip lan3 secure filter in 1101 1102 1103 1104 1105 1201 1202 1203 1204 1205 1206 1207 1208 2000
ip lan3 secure filter out 3000 dynamic 100 101

今夜にでも設定反映させてみますが
ご確認頂ければ幸いです。

投稿日時 - 2009-03-27 11:59:14

ANo.12

No.10についてですが、勘違いがありました。
lan2を通じてlan1のIPアドレスにいくはずだから、ルーティング設定云々は忘れてください。
単純にフィルタ設定の問題です。
syslogで弾かれているポート番号を開けていけば繋がるはずです。

投稿日時 - 2009-03-25 10:16:51

ANo.11

最新のConfigとその結果のログを貼り付けてもらえますか?

投稿日時 - 2009-03-24 23:37:16

補足

何時もお世話になります。
最新のconfigとlogを張付けさせて頂きます。
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.200/24
ip lan3 address 192.168.10.1/24
ip lan3 secure filter in 1101 1102 1103 2000
ip lan3 secure filter out 3000 dynamic 100 101
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ******* ********
ppp lcp mru on 1454
ppp ipcp msext on
ip pp address ***.***.***.***
ip pp mtu 1438
ip pp secure filter in 1031 1032 1033 1034 2000 dynamic 202 203
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102
103 104 105 106
ip pp intrusion detection in on
ip pp nat descriptor 1
pp enable 1
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.1.0/24 *
ip filter 1031 pass * 192.168.10.2 tcp * 26508
ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21
ip filter 1033 pass * 192.168.10.2 udp * 26508
ip filter 1034 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * www
ip filter 1101 pass * 192.168.1.0/24 icmp
ip filter 1102 pass * 192.168.1.0/24 udp,tcp 445 *
ip filter 1103 pass * 192.168.1.0/24 udp,tcp * 445
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 202 * 192.168.10.3 ftp
ip filter dynamic 203 * 192.168.10.3 www
nat descriptor type 1 masquerade
nat descriptor address outer 1 ***.***.***.***
nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508
nat descriptor masquerade static 1 2 192.168.10.2 udp 26508
nat descriptor masquerade static 1 3 192.168.10.3 tcp 21
nat descriptor masquerade static 1 4 192.168.10.3 tcp www
syslog notice on
tftp host any
dhcp service server
dhcp scope 1 192.168.1.201-192.168.1.254/24
dns server ***.***.***.***
dns private address spoof on
httpd host 192.168.1.1-192.168.1.254 192.168.10.2
です。この状態だとLAN3から外部(Internetができません)
その際のlogですが
2009/03/25 23:23:56: same message repeated 2 times
2009/03/25 23:23:56: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.2:49661 > 210.132.71.42:80
2009/03/25 23:23:56: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.2:49599 > 118.214.10.84:80
2009/03/25 23:23:56: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.2:49663 > 210.132.71.42:80
2009/03/25 23:23:58: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:57953 > 192.168.10.1:53 (DNS Query [linkhelp.clients.google.com])

でLAN3から\\192.168.1.6\を実行すると
2009/03/25 23:27:53: same message repeated 2 times
2009/03/25 23:27:53: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:138 > 192.168.10.255:138
2009/03/25 23:27:53: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:137 > 192.168.10.255:137
2009/03/25 23:27:54: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.2:49694 > 192.168.1.6:139
2009/03/25 23:27:54: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:137 > 192.168.10.255:137
2009/03/25 23:27:57: same message repeated 1 times
2009/03/25 23:27:57: LAN3 Rejected at IN(2000) filter: TCP 192.168.10.2:49694 > 192.168.1.6:139

以上よろしくお願い致します。

投稿日時 - 2009-03-25 23:30:52

ANo.10

簡単なログの説明をしますね。
追加前:
> PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:58725 > 192.168.1.6:445
192.168.10.2から192.168.1.6への通信がpp1に流れていて、pp1(LAN2)のフィルタ番号1015でOUT方向を弾いています。
異なるネットワークアドレスへの通信はルーティングを必要としますが、192.168.1.0への経路が設定されていないので、
default gatewayであるpp1へ流れていると思われます。

変更後:
> LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 > 192.168.10.1:53
フィルタ番号2000によって、LAN3に入ってくる通信を弾いています。
UDP53なので、DNSが参照できないようですね。
pingでIPアドレス指定なら通るかもしれません。

投稿日時 - 2009-03-23 16:31:28

ANo.9

もう少しconfig眺めてみました。
フィルタかけてるのがLAN2だけで、LAN1とLAN3の設定がないようですね。
ip INTERFACE secure filter....のトコです。
configにsyslog notice onを加えて、show log | grep Rejected すると、
デフォルトのフィルタで弾かれてるのが見えるような気がします。

既出ですが、http://netvolante.jp/solution/int/case4.htmlをしっかり眺めてください。

投稿日時 - 2009-03-16 17:57:07

補足

皆様ご教示ありがとうございます。
ip filter 1030 pass * 192.168.1.0/24 icmp ←削除

ip lan3 secure filter out 3000 dynamic 100 101
ip lan3 secure filter in 1101 1102 1103 2000
ip filter 1102 pass * 192.168.1.0/24 udp,tcp 445 *
ip filter 1103 pass * 192.168.1.0/24 udp,tcp * 445
を追加しましたらDMZ上端末からインターネット上に出なくなってしまいました。

追加する前は
2009/03/19 23:37:13: [INSPECT] PP[01][out][106] UDP 192.168.10.2:65435 > 192.16
8.1.4:161 (2009/03/19 23:36:22)
2009/03/19 23:37:14: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:5872
5 > 192.168.1.6:445
2009/03/19 23:37:15: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:5873
0 > 192.168.1.6:139
2009/03/19 23:37:17: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:5872
5 > 192.168.1.6:445
2009/03/19 23:37:18: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:5873
0 > 192.168.1.6:139
2009/03/19 23:37:23: PP[01] Rejected at OUT(1015) filter: TCP 192.168.10.2:5872
5 > 192.168.1.6:445
2009/03/19 23:37:24: PP[01] Rejected at OUT(1013) filter: TCP 192.168.10.2:5873
0 > 192.168.1.6:139
2009/03/19 23:37:36: PP[01] Rejected at OUT(1012) filter: UDP 192.168.10.2:137
> 192.168.1.6:137
とrejectedされていました。

追加した後は
2009/03/19 23:29:06: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 >
192.168.10.1:53 (DNS Query [tisprotb10-jp.url.trendmicro.com])
2009/03/19 23:29:07: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 >
192.168.1.150:53 (DNS Query [tisprotb10-jp.url.trendmicro.com])
2009/03/19 23:29:07: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 >
192.168.10.1:53 (DNS Query [tisprotb10-jp.url.trendmicro.com])
2009/03/19 23:29:09: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 >
192.168.1.150:53 (DNS Query [tisprotb10-jp.url.trendmicro.com])
2009/03/19 23:29:09: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 >
192.168.10.1:53 (DNS Query [tisprotb10-jp.url.trendmicro.com])
2009/03/19 23:29:13: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 >
192.168.1.150:53 (DNS Query [tisprotb10-jp.url.trendmicro.com])
2009/03/19 23:29:13: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:64277 >
192.168.10.1:53 (DNS Query [tisprotb10-jp.url.trendmicro.com])
2009/03/19 23:29:21: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:53819 >
192.168.1.150:53 (DNS Query [www.google.co.jp])
2009/03/19 23:29:22: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:65435 >
192.168.1.4:161
2009/03/19 23:29:22: LAN3 Rejected at IN(2000) filter: UDP 192.168.10.2:53819 >
192.168.1.150:53 (DNS Query [www.google.co.jp])
となっておりウィルスバスターが何か悪さをしているのでしょうか?

堂々巡りの質問ばかりで申し訳ありませんがよろしくお願いいたします。

投稿日時 - 2009-03-19 23:41:06

ANo.8

> >LAN(LAN1)⇒DMZ(LAN3)はTCP全許可
> 例えば192.168.1.6から192.168.10.1に対してpingも通りません。

pingが使うのはTCPパケットではなくICMPパケットとなるので
上記の「TCP全許可」にあてはまらないです。


LAN3の関係だけピックアップして修正する例を書きます。
--
ip lan3 address 192.168.10.1/24
ip lan3 secure filter in 1101 1102 1103 2000 ⇒DMZからLANに通したいプロトコルのフィルタを追加
ip lan3 secure filter out 3000 dynamic 100 101 ⇒No.200を削除

ip filter 1101 pass * 192.168.1.0/24 icmp ⇒DMZからLANに通したいプロトコルを指定
ip filter 1102 pass * 192.168.1.0/24 tcp * * ⇒DMZからLANに通したいプロトコルを指定(例で*にしてます)
ip filter 1103 pass * 192.168.1.0/24 udp * * ⇒DMZからLANに通したいプロトコルを指定(例で*にしてます)
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
# ip filter dynamic 200 192.168.1.0/24 * tcp ⇒No.200を削除
--


> 具体的にとの様なログをチェックしたら宜しいのでしょうか?

syslog notice on
としておくとフィルタでrejectされた通信がログに出力されるようになります
show logで確認してください。

投稿日時 - 2009-03-14 14:21:20

ANo.7

ナナメ読みして直感でお答えしますが、
フィルタではなくてルーティングの問題のような気がします。
192.168.1.200から192.168.10.1への経路が、defaultのpp1に流れてるカモ。
syslogを見ればフィルタやNATでRejectされてたら分かるので、その辺りもお調べ下さい。

投稿日時 - 2009-03-13 17:25:44

お礼

invalidさん・kuroizellさんご教示ありがとうございます。
invalidさんのご指摘通りに修正を致しましたが、
1921.168.1.0/24に対してpingは通らない状態でした。

>192.168.1.0/24のグループにもアクセスは不可
と致したかったのですが、ファイル共有だけは
行いたいと思っていました。
確かにセキュリティの面では問題があるとは思いますが。。

再度整理致しますと
WAN(LAN2)⇒DMZ(LAN3)は​www,ftp,26805​だけが接続可
DMZ(LAN3)⇒LAN(LAN1)はファイル共有のみ可(192.168.1.6に対して)それ以外は拒否
WAN(LAN2)⇒LAN(LAN1)は拒否
LAN(LAN1)⇒WAN(LAN2)は全許可
LAN(LAN1)⇒DMZ(LAN3)はTCP全許可
DMZ(LAN3)⇒WAN(LAN2)は限られた通信(100~106)が許可
ですが
>LAN(LAN1)⇒DMZ(LAN3)はTCP全許可
例えば192.168.1.6から192.168.10.1に対してpingも通りません。

>syslogを見ればフィルタやNATでRejectされてたら分かるので、その
>辺りもお調べ下さい
とお教え頂きましたが、具体的にとの様なログをチェックしたら宜しいのでしょうか?

投稿日時 - 2009-03-13 17:47:08

ANo.6

WAN(LAN2)⇒DMZ(LAN3)はwww,ftp,26805だけが接続可
DMZ(LAN3)⇒LAN(LAN1)は拒否
WAN(LAN2)⇒LAN(LAN1)は拒否
LAN(LAN1)⇒WAN(LAN2)は全許可
LAN(LAN1)⇒DMZ(LAN3)はTCP全許可
DMZ(LAN3)⇒WAN(LAN2)は限られた通信(100~106)が許可
というポリシーのつもりでした。

>192.168.1.0/24のグループにもアクセスは不可
上記のポリシーでは内部LAN(192.168.1.0/24)へはDMZおよびWANから接続できない前提でした。
外部から内部への接続は極力拒否するのが通常のポリシーだと思います。

>192.168.10.2から192.168.1.200(RTX1000内部)に対してもpingは通らない状態です。
これも同様でDMZ(LAN3)⇒LAN(LAN1)は拒否というポリシーでできない状態です。
WAN⇒DMZは限られたポートについて許すがDMZ/WANからLAN1への接続は全て許さないというポリシーになります

# この辺りがmmiyamoto2さんと私が合わないのですね…

mmiyamoto2さんの作りたいネットワーク構成で
DMZ/LANの分けがないのであれば、DMZを無理に作る必要はないです
インターネットからの侵入を防ぎたいのであれば、あったほうが良い
と思いますが…

もしDMZ/LANの分けにこだわりがなければ
LAN3にかかっているフィルタを外した方がよいと思います。
(※INもOUTも)

以下のConfigでLAN1(LAN)~LAN3(DMZ)間は制限がなくなります。
(LAN3のフィルリングを外しWAN側インタフェースのみフィルタリング)

---
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.200/24
ip lan3 address 192.168.10.1/24

pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ********** ********
ppp lcp mru on 1454
ppp ipcp msext on
ip pp mtu 1438
ip pp secure filter in 1031 1032 1033 1034 2000 dynamic 202 203
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
ip pp intrusion detection in on
ip pp nat descriptor 1
pp enable 1

ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1031 pass * 192.168.10.2 tcp * 26508
ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21
ip filter 1033 pass * 192.168.10.2 udp * 26508
ip filter 1034 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * www
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 202 * 192.168.10.3 ftp
ip filter dynamic 203 * 192.168.10.3 www

nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508
nat descriptor masquerade static 1 2 192.168.10.2 udp 26508
nat descriptor masquerade static 1 3 192.168.10.3 tcp 21
nat descriptor masquerade static 1 4 192.168.10.3 tcp www
syslog debug on
tftp host any
dhcp service server
dhcp scope 1 192.168.1.201-192.168.1.254/24
dns private address spoof on
httpd host 192.168.1.1-192.168.1.254
---

投稿日時 - 2009-03-12 00:06:49

ANo.5

configを以下のようにしてみてはいかがでしょうか。
修正行には※でコメントをしてあります。

行先頭に#がある行は不要と思われる行です。
BフレッツでPPPoEなのでグローバルアドレス、DNSもIPCPで付与
されると重います。

---
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.200/24
ip lan3 address 192.168.10.1/24
ip lan3 secure filter in 2000
ip lan3 secure filter out 3000 dynamic 100 101 200

pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ********** ********
ppp lcp mru on 1454
ppp ipcp msext on
#ip pp address 111.11.111.111/32 (※PPPoEでグローバルアドレスが付けられるので行削除)
ip pp mtu 1438
ip pp secure filter in 1031 1032 1033 1034 2000 dynamic 202 203
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
ip pp intrusion detection in on
ip pp nat descriptor 1
pp enable 1

ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1031 pass * 192.168.10.2 tcp * 26508
ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21
ip filter 1033 pass * 192.168.10.2 udp * 26508
ip filter 1034 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * www
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 200 192.168.1.0/24 * tcp (※192.168.0.0⇒192.168.1.0に修正)
ip filter dynamic 202 * 192.168.10.3 ftp
ip filter dynamic 203 * 192.168.10.3 www

nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp (※PPPoE/IPCPのアドレスを使うよう設定)
nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508
nat descriptor masquerade static 1 2 192.168.10.2 udp 26508
nat descriptor masquerade static 1 3 192.168.10.3 tcp 21
nat descriptor masquerade static 1 4 192.168.10.3 tcp www
syslog debug on
tftp host any
dhcp service server
dhcp scope 1 192.168.1.201-192.168.1.254/24
#dns server 222.222.222.22 333.333.333.33 (※PPPoEでアドレスが付けられるので行削除)
dns private address spoof on
httpd host 192.168.1.1-192.168.1.254
---

投稿日時 - 2009-03-10 23:46:51

お礼

いつもお世話になります。
お教え頂きしまた箇所修正致しましたが26508のポートや
外部への接続はできませんでした。
また192.168.1.0/24のグループにもアクセスは不可でした。
試しに
ip lan3 secure filter in 2000
を削除すると26508のポートや外部への接続は当然ですが
可能となりしまたが、192.168.1.0/24のグループには
アクセスできませんでした。

192.168.10.2から192.168.1.200(RTX1000内部)に対しても
pingは通らない状態です。

他に何かありますでしょうか?

投稿日時 - 2009-03-11 19:07:44

ANo.4

私がややこしい例を持ち出して混乱させてしまったようです。
申し訳ないです。

まず
# nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508
# nat descriptor masquerade static 1 2 192.168.10.2 udp 26508 ←idを2にしています
でポートをマッピングします。

> ip filter 1031 pass * 192.168.10.2 tcpflag=0x0002/0x0017 * 26508 

これですと最初のSYNフラグの付いたパケットだけが通りますが、
続いてくるパケットを通すために動的フィルタが必要になります。
ただ動的フィルタが26508に対応していないと思われるので、以下
のようにしてください。
(最初の質問のconfigと変わってないですね…スミマセン
ホントはSYN有無で分けたほうがセキュリティ的には良いのですが)

# ip filter 1031 pass * 192.168.10.2 tcp * 26508 
# ip filter 1033 pass * 192.168.10.2 udp * 26508

以下の動的フィルタは不要です
> ip filter dynamic 201 * 192.168.10.2 26508

PPにかけるフィルタは動的フィルタ(dynamic)を除いて
# ip pp secure filter in 1020 1030 1031 1033 2000
です。


26508番ポートを使うアプリケーションが何者かが分からないため
通信がうまくいくかどうか少し疑問です。
・UDPを必要としてるのかどうか?
・レスポンスをそのポートから返すのか?
・他のunknownポートを使うのかどうか?
とかです。


> またDMZ領域から外部へのアクセスは可能なのでしょうか?
>(Web等々smtpも含みます)

(サイトの例で)LAN3にかかっているフィルタと、PPにかかっているフィルタの両方を見て
DMZから外部にアクセスできる状態になっているかどうかがポイントになります。
26508ポートの通信ができるようになってから別途設定するほうが良いと思います。

投稿日時 - 2009-03-05 00:59:30

補足

invalid様。お世話になります。
休日でしたので朝から設定してみました。結局configは
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.200/24
ip lan3 address 192.168.10.1/24
ip lan3 secure filter in 2000
ip lan3 secure filter out 3000 dynamic 100 101 200
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ********** ********
ppp lcp mru on 1454
ppp ipcp msext on
ip pp address 111.11.111.111/32
(111.11.111.111と設定すると111.11.111.111/32なる)
ip pp mtu 1438
ip pp secure filter in 1020 1030 1031 1032 1033 2000 dynamic 202 203
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102
103 104 105 106
ip pp intrusion detection in on
ip pp nat descriptor 1
pp enable 1
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1031 pass * 192.168.10.2 tcp * 26508
ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21
ip filter 1033 pass * 192.168.10.2 udp * 26508
ip filter 1034 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * www
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 200 192.168.0.0/24 * tcp
ip filter dynamic 202 * 192.168.10.3 ftp
ip filter dynamic 203 * 192.168.10.3 www
nat descriptor type 1 masquerade
nat descriptor address outer 1 111.11.111.111
nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508
nat descriptor masquerade static 1 2 192.168.10.2 udp 26508
nat descriptor masquerade static 1 3 192.168.10.3 tcp 21
nat descriptor masquerade static 1 4 192.168.10.3 tcp www
syslog debug on
tftp host any
dhcp service server
dhcp scope 1 192.168.1.201-192.168.1.254/24
dns server 222.222.222.22 333.333.333.33
dns private address spoof on
httpd host 192.168.1.1-192.168.1.254

# show status pp 1
PP[01]:
Current PPPoE session status is Connected.
Access Concentrator: nttw-ctu
26 minutes 5 seconds connection.
Received: 155 packets [14662 octets] Load: 0.0%
Transmitted: 111 packets [5049 octets] Load: 0.0%
PPP Cofigure Options
LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
IPCP Local: IP-Address Primary-DNS(***.***.**.***) Secondary-DNS(***.***.***.***), Remote: IP-Address
(dns server 222.222.222.22 333.333.333.33で設定した値になっていない)
と致しました。

しかし192.168.1.0/24に対する疎通も外部からの26508への接続も不可となってしまいました。
26508のポート以外にも通常のtcp・udpも空ける必要があると事で
以前申されていたフィルタリングの設定も必要なようです。

掲載致しましたconfigで間違っている所はありますでしょうか?

投稿日時 - 2009-03-08 18:18:47

ANo.3

手元にRTX1000がないので確認できませんが
ip filter dynamic の構文ではprotocolはニーモニック指定しか
できないように思います。ただしtcp/udpが指定可能なので
# ip filter dynamic 200 192.168.0.0/24 * tcp
であればtcpのアプリケーションの通信は殆んど通ることになります。

> またDMZ領域から外部へのアクセスは可能なのでしょうか?
フィルタリングの設定次第で可能です。
サイトの例だとDMZのWWWとFTPサーバから外に出れない設定に
なっていると思います。(アクセスに対するレスポンスは返せますが)

投稿日時 - 2009-03-04 00:06:31

お礼

invalid様。ありがとうございます。
今回ご質問させて頂きました要件で整理し纏めてみました。
要件としてはポートNo26508を解放したい。
で、設定例を参考にし
nat descriptor masquerade static 1 1 192.168.10.2 tcp 26508
nat descriptor masquerade static 1 1 192.168.10.2 udp 26508
を追加・変更。
ip filter 1031 pass * 192.168.10.2 tcpflag=0x0002/0x0017 * 26508
ip filter 1033 pass * 192.168.10.2 udp * 26508
を追加・変更。
ip filter dynamic 200 192.168.1.200/24 * tcp
に修正。
ip pp secure filter in 1020 1030 1031 1032 1033 2000 dynamic 201 202
で1033を追加記述。
で間違いないでしょうか?
ただ
>フィルタリングの設定次第で可能です。
>サイトの例だとDMZのWWWとFTPサーバから外に出れない設定に
>なっていると思います。(アクセスに対するレスポンスは返せますが)
の部分が少し解りにくくて。

投稿日時 - 2009-03-04 15:57:36

ANo.2

Ano.1さんの仰るとおり単にフィルタに記述するだけでは外からアクセスできません。

下記URLにWWWサーバ,FTPサーバを公開する場合の例があります。
http://netvolante.jp/solution/int/case4.html
これにならって26508番を公開するように設定すればよいのですが。。。

ポート単位でマスカレードする場合には上記URLのように
# nat descriptor masquerade static 1 1 192.168.10.2 tcp www
のようにnat descriptorでポートを明示する必要があります。
またフィルタも対応して
# ip filter 1031 pass * 192.168.10.2 tcpflag=0x0002/0x0017 * www
# ip filter dynamic 201 * 192.168.10.2 www
# ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202
と書き分ける必要があります。
(面倒ですが)

投稿日時 - 2009-03-02 23:01:27

お礼

皆様ご教示ありがとうございます。
http://netvolante.jp/solution/int/case4.html
を参考に致して再度設定を行ってみます。
愚問かもしれませんが、DMZ(192.168.0.0/24)とLAN2(192.168.0.0/24)
の間を制限無しに設定する場合
ip filter dynamic 200 192.168.0.0/24 * telnet

ip filter dynamic 200 192.168.0.0/24 * *
とすれば宜しいのでしょうか?

またDMZ領域から外部へのアクセスは可能なのでしょうか?
(Web等々smtpも含みます)

投稿日時 - 2009-03-03 17:53:05

ANo.1

インターネット側から、192.168.1.201:26508にアクセスさせたい、という事でしょうか。
それなら外部からLAN内のPCは見えませんので、192.168.1.201を固定IPに書き換え、
NATで192.168.1.201に通せばよいかと思います。

投稿日時 - 2009-03-02 15:08:08

あなたにオススメの質問