自社サーバーを公開する(2)

図 自社サーバーを公開する

安全にインターネットを利用するとともに、サーバーを公開する構成です。
RTX1200にはEthernetのインターフェースが3つあるのでDMZを含めた構成が簡単に運用できます。
ファイアウォールの機能が、インターネットからの不正な侵入を防ぎ、公開サーバーに対する攻撃を検知します。

固定グローバルアドレスを1つだけ持っている場合の設定例はこちらになります

RTX1100/RTX1200の設定例

下記の設定(Config)を取り出すことができます。

LANのインタフェースの設定
(LAN1ポートを使用)

ip lan1 address 192.168.0.1/24
DMZのインタフェースの設定
(LAN3ポートを使用)

ip lan3 address xxx.xxx.xxx.1/29
WANのインタフェースの設定
(LAN2ポートを使用)

pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ip pp mtu 1454
ip pp nat descriptor 1
ip pp intrusion detection in on # 注釈1
pp enable 1
ip route default gateway pp 1
NATの設定

nat descriptor type 1 masquerade
nat descriptor address outer 1 xxx.xxx.xxx.1
nat descriptor address inner 1 192.168.0.1-192.168.0.254
DHCPの設定/th>

dhcp service server
dhcp scope 1 192.168.0.2-192.168.0.100/24
DNSの設定

dns server (ISPより指定されたDNSサーバーのIPアドレス)
dns private address spoof on
フィルタの設定

ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 1031 pass * (xxx.xxx.xxx.2) tcpflag=0x0002/0x0fff * www # 注釈2
ip filter 1032 pass * (xxx.xxx.xxx.3) tcpflag=0x0002/0x0fff * 21 # 注釈3
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 200 192.168.0.0/24 * telnet # 注釈4
ip filter dynamic 201 * (xxx.xxx.xxx.2) www # 注釈5
ip filter dynamic 202 * (xxx.xxx.xxx.3) ftp # 注釈6
ip lan3 secure filter in 2000
ip lan3 secure filter out 3000 dynamic 100 101 200
pp select 1
ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
pp enable 1

[注釈の説明]
注釈1
WANのインタフェースで不正アクセス検知機能を有効にします。検知した結果はshow ip intrustion detectionコマンドで確認できます。

注釈2、注釈5
WWWサーバーへのアクセスのうち、最初のパケット(SYN)だけを通すフィルタです。その後に引き続く通信は、注釈5の動的フィルタで通します。

注釈3、注釈6
注釈2と同様に、FTPサーバーへのアクセスのうち、最初のパケット(SYN)を通すフィルタです。その後に引き続く通信は、注釈6の動的フィルタで通します。

注釈4
WWWサーバーとFTPサーバーをメンテナンスするために使うtelnetの通信を通すフィルタです。

ページトップへ戻るReturn to Top

製品カテゴリー

インフォメーション

サポート

ダウンロード