Last update 2011.06.12
フィルタを1-19 を共通、20-49 を in filter 用、50-89 をout filter 用に整理してみました。基本的に内容は本と一緒ですが(ちょっぴり強化してあります)、こちらの方が保守し易いと思います。
#########################################################
# 環境
#########################################################
# Password
login password *
administrator password *
# セキュリティクラス
security class 2 off off
# 表示カラム拡大
console columns 200
# スクロールノンストップ
console lines infinity
# 専用回線指定
pp line l128
#########################################################
# 1-19 in/out 共通 (private address & loopback address
# & 危険なポート)
#########################################################
# 送信元がプライベトー or ループバック(そんなことはあり得ない)
ip filter 1 reject 192.168.0.0/16 * * * *
ip filter 2 reject 172.16.0.0/12 * * * *
ip filter 3 reject 10.0.0.0/8 * * * *
ip filter 4 reject 127.0.0.0/24 * * * *
# 宛先がプライベトー or ループバック(そんなことはあり得ない)
ip filter 5 reject * 192.168.0.0/16 * * *
ip filter 6 reject * 172.16.0.0/12 * * *
ip filter 7 reject * 10.0.0.0/8 * * *
ip filter 8 reject * 127.0.0.0/24 * * *
# いわゆる「危険なポート」を塞ぐ
ip filter 10 reject * * udp,tcp * 1,7,11,15,43,67,69,70,79,87
ip filter 11 reject * * udp,tcp * 95,109,111,144,161-162,177,220,512-515,517-518,520
ip filter 12 reject * * udp,tcp * 540,1025,2000,2049,2766,6000-6999,8080
ip filter 13 reject * * udp,tcp *
135,137-139,445,568-569,1433-1434,1477-1478,1512,1755,1801,2393-2394
ip filter 14 reject * * udp,tcp * 2525
ip filter 15 reject * * udp,tcp * 3268-3269,3389,31337
ip filter 16 reject * * udp,tcp * 5631-5632
ip filter 17 reject * * icmp-info * *
#########################################################
# 20-29 in reject (自己アドレス空間/アクセス禁止サイト)
#########################################################
# 送信元が自己アドレス空間(そんなことはあり得ない)
ip filter 20 reject 210.145.140.144/28 * * * *
# アクセスを拒否するサイトはここに記述する
#ip filter 21 reject 111.222.333.0/24 * * * *
#########################################################
# 30-39 in reject (個別アクセス禁止)
#########################################################
# ルータに対する telnet http 禁止
ip filter 30 reject * 210.145.140.145 tcp,udp * 23,80
# サーバに対する telnet 禁止
ip filter 31 reject * 210.145.140.146 tcp,udp * 23
#########################################################
# 40-49 in pass (サーバ別の通過許可)
#########################################################
# ブロードキャストアドレスは監視する
ip filter 40 pass-log * 210.145.140.159 * * *
# ネットワークアドレスは監視する
ip filter 41 pass-log * 210.145.140.144 * * *
# ルータに対するアクセスは監視する
ip filter 42 pass-log * 210.145.140.145 * * *
# 公開サーバはアクセス許可
ip filter 43 pass * 210.145.140.146 * * *
#########################################################
# 50-59 out reject (自己アドレス空間/アクセス禁止サイト)
#########################################################
# 宛先が自己アドレス空間(そんなことはあり得ない)
ip filter 50 reject * 210.145.140.144/28 * * *
# アクセスを禁止するサイトはここに記述する
# ip filter 51 reject * 111.222.333.0/24 * * *
#########################################################
# 60-69 out pass (公開サーバの戻りパケット通過)
#########################################################
# サーバ別に公開サービスを全て記述
ip filter 60 pass 210.145.140.146 * tcp,udp 25,53,80,110,113 *
#########################################################
# 70-89 out reject (アタックとアタック以外を明確にする)
#########################################################
# いわゆる「危険なポート」を送信元に使った外部接続遮断する
ip filter 70 reject * * udp,tcp 1,7,11,15,43,67,69,70,79,87 *
ip filter 71 reject * * udp,tcp 95,109,111,144,161-162,177,220,512-515,517-518,520 *
ip filter 72 reject * * udp,tcp 540,1025,2000,2049,2766,6000-6999,8080 *
ip filter 73 reject * * udp,tcp
135,137-139,445,568-569,1433-1434,1477-1478,1512,1755,1801,2393-2394 *
ip filter 74 reject * * udp,tcp 2525 *
ip filter 75 reject * * udp,tcp 3268-3269,3389,31337 *
ip filter 76 reject * * udp,tcp 5631-5632 *
#########################################################
# 90-100 etc
#########################################################
ip filter 100 pass * * * * *
ip filter source-route on
ip filter directed-broadcast on
#########################################################
# 環境
#########################################################
# ルータの IP アドレス
ip lan address 210.145.140.145/28
# ルーティングプロトコル無し
ip lan routing protocol none
#########################################################
# フィルタの実装
#########################################################
pp select leased
ip pp route add net default 1
ip pp secure filter in 1 2 3 4 5 6 7 8 10 11 12 13 14 15 16 17 20 30 31 40 41 42 43
ip pp secure filter out 1 2 3 4 5 6 7 8 10 11 12 13 14 15 16 17 50 60 70 71 72 73 74 75 76
100
pp enable leased
#########################################################
# 環境
#########################################################
# syslog 関係
syslog host 210.145.140.147
syslog notice on
# DNS 関係
dns server 210.145.140.146
dns domain vwnet.jp
dns syslog resolv on
# 時刻合わせのスケジュール
schedule at */* 04:00 leased ntpdate 210.145.140.146
Copyright © MURA All rights reserved.