YAMAHA RT80i setup info

YAMAHA RT80i 設定サンプル

ユーザーズグループで流れた RT80i で Cobalt をプライベートに置いた場合のコンフィグを参考に出しておきます。
情報提供は渋谷 shibuya@onomnichi.ne.jp さんです。


> show config
# RT80i Rev.2.02.33 (Thu May 14 20:04:02 1998)
# MAC Address : 00:a0:de:xx:xx:xx
login password *
administrator password *
pp line l64
ip filter 1 pass * * established * *
ip filter 2 pass 202.231.xxx.y1 * * * *
ip filter 3 pass 202.231.xxx.y2 * * * *
ip filter 4 pass 202.231.xxx.y3 * * * *
ip filter 5 reject * * udp,tcp netbios_ns,netbios_dgm,netbios_ssn *
ip filter 6 reject * * udp,tcp * netbios_ns,netbios_dgm,netbios_ssn
ip filter 7 reject * * tcp telnet *
ip filter 8 reject * * tcp * telnet
ip filter 9 reject * * tcp 81 *
ip filter 10 reject * * tcp * 81
ip filter 100 pass * * * * *
ip lan address 192.168.x.254/24
pp select leased
ip pp route add net default 2
ip pp secure filter in 1 2 3 4 5 6 7 8 9 10 100
ip pp secure filter out 5 6 100
nat use on
nat masquerade on
nat address global 202.231.xxx.yy1-202.231.xxx.yy2 202.231.xxx.yyy=192.168.3.1 202.231.xxx.zzz=192.168.3.254
nat address private 192.168.3.1-192.168.3.254
pp enable leased
analog supplementary-service pseudo call-waiting

具体的にはルータだけを使ったファイアウォールもどきの典型例として
設定してみました。
上に用いた 202.231 というのはアクセスを許したいサイトのアドレスと
してたまたま例示しただけで、もし、外部にアクセスを許したいネットワークが
無い場合は 202.231 の行は無しと思ってください。

IP アドレスの説明ですが
202.231.xxx.y1 - y2        すべてのポートを許可するサイト(リモート管理用)
202.231.xxx.yy1 - yy2      割り当てられたグローバルアドレス
202.231.xxx.yyy            NAT によって Qube に割り当てるグローバルアドレス
202.231.xxx.zzz            NAT によって RT に割り当てるグローバルアドレス

フィルタの内容は
・リモート管理用のサイトからのアクセスはすべてのポートで許可
・137-139 はすべて不許可
・telnet はすべて不許可
・管理ツール用の 81 はすべて不許可
・それ以外はすべて許可

ということです。

また、ftp や imapd への攻撃から逃れるために、ftp と imapd に対する
アクセスを止めてしまう記述を以下に示します。

ip filter 1 pass * * established * *
ip filter 2 pass 202.231.xxx.y1 * * * *
ip filter 3 pass 202.231.xxx.y2 * * * *
ip filter 4 pass 202.231.xxx.y3 * * * *
ip filter 5 reject * * udp,tcp netbios_ns,netbios_dgm,netbios_ssn *
ip filter 6 reject * * udp,tcp * netbios_ns,netbios_dgm,netbios_ssn
ip filter 7 reject * * tcp telnet *
ip filter 8 reject * * tcp * telnet
ip filter 9 reject * * tcp 81 *
ip filter 10 reject * * tcp * 81
ip filter 11 reject * * tcp ftp *
ip filter 12 reject * * tcp * ftp
ip filter 13 reject * * tcp 143 *
ip filter 14 reject * * tcp * 143
ip filter 100 pass * * * * *
ip lan address 192.168.x.254/24
pp select leased
ip pp route add net default 2
ip pp secure filter in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 100
ip pp secure filter out 5 6 100

22 Feb. 1999

This page is administrated by

Cobalt Users Group. (usersgroup@cobaltqube.org)

All rights are reserved.