自社サーバーを公開(1つの固定グローバルIPアドレス / DMZセグメント : LAN3) : コマンド設定

本設定例は、以下の機種に対応しています。

対応機種: RTX5000 RTX3500 RTX1210 RTX1200 RTX1100

RTX1200を使って、安全にインターネットを利用するとともに、自社ネットワークに設置したサーバーをインターネットへ公開するケースです。RTX1200には3つのイーサネットインタフェースを装備。WAN、LAN、DMZのネットワーク構成を1台で構築・運用できます。

図 自社サーバーを公開する

スループット最大1Gbit/s(双方向)の高速インターネットアクセス性能

FTTH(光ファイバー)など高速化を続けるブロードバンド環境に対応するため、高速パケット処理技術「ファストパス」を搭載。最大1Gbit/sのスループット(※1)(※2)を実現しました。パケットを効率的に処理することができるため、ブロードバンドのアクセス回線帯域を十分に活かすことができます。

(※1) RTX1200の場合。RTX1100の場合は、最大200Mbit/s。
(※2) SmartBitsによる弊社測定値(双方向)

高度なフィルタリングによるファイアウォール

定評のあるヤマハルーターの高度なフィルタリングによるファイアウォールを搭載しました。 不正アクセス検知機能で、ネットワークを通過するパケットをIPヘッダやIPオプションヘッダ、ICMP、UDP、TCP、FTP、SMTPなど41種類のカテゴリーから監視します。 不正なアクセストライを発見後は、侵入やデータの漏洩・改ざんを未然に防止。 さらに、設定によってはパケットを破棄して、より高いセキュリティを確保することもできます。

独立3イーサネットインターフェース搭載

RTX1200の3つのイーサネットインタフェースはそれぞれ独立しており、WANを含むインターネット、LAN、そしてDMZを同時に運用可能です。 ファイアウォール機能によってLANセグメントを保護しながら、DMZセグメントでサーバーを公開することができます。

複数の固定グローバルアドレスを持っている場合の設定例はこちらになります

RTX1200の設定例

LANのインタフェースの設定
(LAN1ポートを使用)

ip lan1 address 192.168.0.1/24

DMZのインタフェースの設定
(LAN3ポートを使用)

ip lan3 address 192.168.10.1/24
ip lan3 secure filter in 2000
ip lan3 secure filter out 3000 dynamic 100 101 200

WANのインタフェースの設定
(LAN2ポートを使用)

pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ip pp mtu 1454
ip pp address (固定グローバルIPアドレス)
ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
ip pp nat descriptor 1
ip pp intrusion detection in on # 注釈1
pp enable 1
ip route default gateway pp 1

NATの設定

nat descriptor type 1 masquerade
nat descriptor address outer 1 (固定グローバルIPアドレス)
nat descriptor masquerade static 1 1 192.168.10.2 tcp www # 注釈2
nat descriptor masquerade static 1 2 192.168.10.3 tcp 21 # 注釈3

DHCPの設定

dhcp service server
dhcp scope 1 192.168.0.2-192.168.0.100/24

DNSの設定

dns server (ISPより指定されたDNSサーバーのIPアドレス)
dns private address spoof on

フィルタの設定

ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 1031 pass * 192.168.10.2 tcpflag=0x0002/0x0017 * www # 注釈4
ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21 # 注釈5
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 200 192.168.0.0/24 * telnet # 注釈6
ip filter dynamic 201 * 192.168.10.2 www # 注釈7
ip filter dynamic 202 * 192.168.10.3 ftp # 注釈8

[注釈の説明]

注釈1
WANのインタフェースで不正アクセス検知機能を有効にします。検知した結果はshow ip intrusion detectionコマンドで確認できます。

注釈2
NATの影響で外側からのアクセスができなくなるので、WWWサーバーへアクセスできるように穴を開けます。

注釈3
注釈2と同様に、FTPサーバーへアクセスできるように穴を開けます。

注釈4、注釈7
WWWサーバーへのアクセスのうち、最初のパケット(SYN)だけを通すフィルタです。その後に引き続く通信は、注釈7の動的フィルタで通します。

注釈5、注釈8
注釈4と同様に、FTPサーバーへのアクセスのうち、最初のパケット(SYN)を通すフィルタです。その後に引き続く通信は、注釈8の動的フィルタで通します。

注釈6
WWWサーバーとFTPサーバーをメンテナンスするために使うtelnetの通信を通すフィルタです。

設定がうまくいかない場合は、こちら

ページトップへ戻るReturn to Top