sidetech

(元)インフラエンジニアの寄り道メモ。

YAMAHA RTX系 ip filterの書き方(我流w)

YAMAHA RTXは何年頃から発売されたのかな・・・コマンドの拡張からあれやこれやと進化を続けてきている製品で、いよいよRTX1210でGUIも刷新されるとか。

以前よりGUIはRT系として実装されてきていたものの・・・GUIで書ききれない内容もあったりでCLIで書くこともあり、でもCLIで自由に設定いれるとGUIを使った時に何故か上書きされたり改変されちゃったりで、RTXのベテランな方々はCLIをベースに勉強してきていると思います。
そんな中で、YAMAHAさんのHUBや無線APとの連携強化でGUIが刷新されたと思うのですが…まだ全部触っていないんで、私は古い人になっていく感じですよね・・・RTマニアではないのでいいすけどぉ・・・。

まぁそうはいってもCLIから全て脱却しているようなMeraki製品とは違いますので、ここではRT系を最初に扱うときに最初の壁になるであろう「ip filter」の扱い方の断片でも扱っていきたいと思います。書籍等からの参考にはしていないのでかなり我流です。

とりあえずフィルターについて、大きく2つの種類にわかれるのかなと思います。それ以外があってもあとは応用でw
Filterbase
インターフェースベースフィルターはYAMAHA-RT系と廉価FWルーターぐらいで、あとは大抵はポリシーベースかなとおもっています。それぞれは、IN/OUTでフィルタルールはUNIXをやっていれば多少とっつきやすいと思いますが、INとOUTの方向が混乱しやすいですよね。見やすくなくなってしまうので間違えやすい。きめ細かい制御が出来ると言えば聞こえはいいけども。

大抵の方はデフォルトからアレンジするか、そのままか、あとはそこに「intrusion detection」を噛ましていく感じですよね。何もしなければステートフルパケットインスペクション【以下SPI】がちゃんと働いて、NetBIOS系通信をインターネットに溢さないフィルターになっていますが、ちょっといじり始めると、大抵ドツボにハマるはずです(僕は最初はそうでした)。

 

 

 

で、色々な方のConfigを参考にすると必ずと言っていいほど、みんなしてip filterの番号が違うwまぁ自由にできるので問題はないのですが、アレコレやっていくと見難いConfigが成長していくわけっすね。

と、いうことでYAMAHA RT系の先生はググればわんさかと出てきますので、ちょっとアレンジすれば見やすくなるよ?みたいな我流テクニックでもと思った次第です。

Filterrt
上記フィルターのルールは私の法則です。こーやるとフィルターが多少読みやすくなるよ?みたいな。
==========================
vlan lan1/1 802.1q vid=101
vlan lan1/2 802.1q vid=102
vlan lan1/3 802.1q vid=103
ip lan1/1 address 192.168.101.1/24
ip lan1/1 secure filter in 102001 101001 101009 101031 101041 101998
ip lan1/1 secure filter out 102001 100001 100009 100998
ip lan1/2 address 192.168.102.1/24
ip lan1/2 secure filter in 102001 101002 101010 101032 101042 101998
ip lan1/2 secure filter out 102001 100002 100010 100998
ip lan1/3 address 192.168.103.1/24
ip lan1/3 secure filter in 102001 101003 101011 101033 101043 101998
ip lan1/3 secure filter out 102001 100003 100011 100998
ip lan3 secure filter in 301000 301004 301005 301006 301007 301998
ip lan3 secure filter out 300000 300004 300005 300006 300007 300998
==========================
ちょっと、実稼働中のConfigを抜粋しただけなので、雰囲気を伝える程度になってしまいますが、これでfilter in と filter outが少し見やすい感じになってません?
どっちにも同じものを使うフィルターの場合は3番目のIN/OUTのフラグに「2」を使っていましたね。

そして、フィルターを弄った時にとりあえず、一番大事?なのはSPIです。SPIがよくわからない場合は、必ずPPインターフェースのフィルターにはデフォルトの場合は以下の様なリストがあるはず?!
==================
ip filter 201030 pass * * icmp * *
ip filter 201031 pass * * established * *
ip filter 201032 pass * * tcp * ident
ip filter 201033 pass * * tcp ftpdata *
ip filter 201034 pass * * tcp,udp * domain
ip filter 201035 pass * * udp domain *
ip filter 201036 pass * * udp * ntp
ip filter 201037 pass * * udp ntp *
===================
そして特に establishedはSPIの部分なので、これをちゃんと突っ込んどいてあげてください。よくわからんから消すとかやっちゃうと通信しなくなっちゃうよん。プライベートネットワークからの通信がインターネットに出て行った後、返ってくるパケットをちゃんと受け入れるのがSPIです。自分のパケットを戻す意味になるので忘れずに。
それと、くれぐれもNetBIOS系ポートを大解放したインターネット通信しないようにしてください。

【establishedについて】
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-filter-established.html

一応こんな感じで・・・まとまり悪いけど・・・。

しかし、IPフィルターじゃなくてドメインフィルターがもうちょっと使いやすければなぁ・・・。L7FW時代にちょっと苦しいですよ・・・ぼくちんは(涙) 

ヤマハ ギガアクセスVPNルーター RTX1210

ヤマハ ギガアクセスVPNルーター RTX1210