Last update 2011.06.12
フィルタを1-9、40-59 を共通、10-79 を in filter 用、80-99 をout filter
用に整理してみました。基本的に内容は本と一緒ですが(ちょっぴり強化してあります)、こちらの方が保守し易いと思います。
#########################################################
# 環境
#########################################################
# Password
login password *
administrator password *
# セキュリティクラス
security class 2 off off
# 表示カラム拡大
console columns 200
# スクロールノンストップ
console lines infinity
# 専用回線指定
pp line l128
#########################################################
# 1-9 in/out reject 共通 (private address & loopback address)
#########################################################
# 送信元がプライベトー or ループバック(そんなことはあり得ない)
ip filter 1 reject 192.168.0.0/16 * * * *
ip filter 2 reject 172.16.0.0/12 * * * *
ip filter 3 reject 10.0.0.0/8 * * * *
ip filter 4 reject 127.0.0.0/24 * * * *
# 宛先がプライベトー or ループバック(そんなことはあり得ない)
ip filter 5 reject * 192.168.0.0/16 * * *
ip filter 6 reject * 172.16.0.0/12 * * *
ip filter 7 reject * 10.0.0.0/8 * * *
ip filter 8 reject * 127.0.0.0/24 * * *
#########################################################
# 10-19 in reject (自己アドレス空間/アクセス禁止サイト)
#########################################################
# 送信元が自己アドレス空間(そんなことはあり得ない)
ip filter 10 reject 210.145.140.144/28 * * * *
# アクセスを拒否するサイトはここに記述する
#ip filter 11 reject 111.222.333.0/24 * * * *
#########################################################
# 20-29 in reject (個別アクセス禁止)
#########################################################
# ルータに対する telnet http 禁止
ip filter 20 reject * 210.145.140.145 tcp,udp * 23,80
# サーバに対する telnet 禁止
ip filter 21 reject * 210.145.140.146 tcp,udp * 23
#########################################################
# 30-39 in pass 確立されたパケットの通過
#########################################################
# 複数のホストがある時は個別に記述するかアドレス空間をCIDR
表記にする。
ip filter 30 pass * 210.145.140.146 established * *
#########################################################
# 40-59 in/out reject 共通 危険なポートを塞ぐ
#########################################################
ip filter 40 reject * * udp,tcp * 1,7,11,15,43,67,69,70,79,87
ip filter 41 reject * * udp,tcp * 95,109,111,144,161-162,177,220,512-515,517-518,520
ip filter 42 reject * * udp,tcp * 540,1025,2000,2049,2766,6000-6999,8080
ip filter 43 reject * * udp,tcp *
135,137-139,445,568-569,1433-1434,1477-1478,1512,1755,1801,2393-2394
ip filter 44 reject * * udp,tcp * 2525
ip filter 45 reject * * udp,tcp * 3268-3269,3389,31337
ip filter 46 reject * * udp,tcp * 5631-5632
ip filter 47 reject * * icmp-info * *
#########################################################
# 60-79 in pass (サーバ別の通過許可)
#########################################################
# ブロードキャストアドレスは監視する
ip filter 60 pass-log * 210.145.140.159 * * *
# ネットワークアドレスは監視する
ip filter 61 pass-log * 210.145.140.144 * * *
# ルータに対するアクセスは監視する
ip filter 62 pass-log * 210.145.140.145 * * *
# 公開サーバはアクセス許可
ip filter 63 pass * 210.145.140.146 * * *
#########################################################
# 80-89 out reject (自己アドレス空間/アクセス禁止サイト)
#########################################################
# 宛先が自己アドレス空間(そんなことはあり得ない)
ip filter 80 reject * 210.145.140.144/28 * * *
# アクセスを禁止するサイトはここに記述する
# ip filter 81 reject * 111.222.333.0/24 * * *
#########################################################
# 90-99 out pass (公開サーバの戻りパケット通過)
#########################################################
# サーバ別に公開サービスを全て記述
ip filter 90 pass 210.145.140.146 * tcp,udp 25,53,80,110,113 *
#########################################################
# 100 etc
#########################################################
ip filter 100 pass * * * * *
ip filter source-route on
ip filter directed-broadcast on
#########################################################
# 環境
#########################################################
# ルータの IP アドレス
ip lan address 210.145.140.145/28
# ルーティングプロトコル無し
ip lan routing protocol none
#########################################################
# フィルタの実装
#########################################################
pp select leased
ip pp route add net default 1
ip pp secure filter in 1 2 3 4 5 6 7 8 10 20 21 30 40 41 42 43 44 45 46 47 60 61 62 63
ip pp secure filter out 1 2 3 4 5 6 7 8 80 90 40 41 42 43 44 45 46 47 100
pp enable leased
#########################################################
# 環境
#########################################################
# syslog 関係
syslog host 210.145.140.147
syslog notice on
# DNS 関係
dns server 210.145.140.146
dns domain vwnet.jp
dns syslog resolv on
# 時刻合わせのスケジュール
schedule at */* 04:00 leased ntpdate 210.145.140.146
Copyright © MURA All rights reserved.