GUIでYamaha RTXのWAN(lan2)を設定した場合のセキュリティ設定について解説します。CLIで設定した場合はデフォルトのファイアウォールルールが存在しないためWANからLANへの通信は全て許可されますが、GUIでWAN(lan2)を設定した場合はデフォルト設定のファイアウォールルールが投入されます。
設定まとめ
ファイアウォール設定 – WANからLANへ
WANからLAN方向に適用されるデフォルト設定のファイアウォールルール(フィルタルール)は以下の通りです。
ファイアウォールルールと呼ぶと若干の語弊があります。Yamaha RTXはdynamicを指定しない場合は戻り方向を自動的に許可しないステートレスファイアウォールの挙動です。
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 ip filter 101003 reject 192.168.100.0/24 * * * * ip filter 101020 reject * * udp,tcp 135 * ip filter 101021 reject * * udp,tcp * 135 ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 101024 reject * * udp,tcp 445 * ip filter 101025 reject * * udp,tcp * 445 ip filter 101030 pass * * icmp * * ip filter 101032 pass * * tcp * ident
デフォルト設定で許可されるのはrule 101030のicmpとrule 101032のtcp113(ident)のみです。
ファイアウォール設定 – LANからWANへ
LANからWAN方向に適用されるデフォルト設定のファイアウォールルール(フィルタルール)は以下の通りです。
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099 ip filter 101013 reject * 192.168.100.0/24 * * * ip filter 101020 reject * * udp,tcp 135 * ip filter 101021 reject * * udp,tcp * 135 ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 101024 reject * * udp,tcp 445 * ip filter 101025 reject * * udp,tcp * 445 ip filter 101099 pass * * * * * ip filter 500000 restrict * * * * * ip filter dynamic 101080 * * ftp ip filter dynamic 101081 * * domain ip filter dynamic 101082 * * www ip filter dynamic 101083 * * smtp ip filter dynamic 101084 * * pop3 ip filter dynamic 101085 * * submission ip filter dynamic 101098 * * tcp ip filter dynamic 101099 * * udp
rule 101013からrule 101099までに着目すると、宛先が192.168.100.0/24の場合とtcp134,tcp137-139(netbios_ns-netbios_ssn), tcp445を除き全て許可している事が読み取れます。
さらにdynamicは戻り方向を自動的に許可する指定ですので、rule101098とrule101099に着目するとtcpとudpは全て許可されている事が読み取れます。
ざっくりと言ってしまえば、「tcp134,137,138,139,445を除いてLANからWANへは全て許可する」と考えてほぼ間違えないでしょう。
動作確認
動作確認の構成
以下の環境で動作確認を行います。
+-----------------+
| Rocky Linux 8.4 |
| host201 |
+-------+---------+
ens192 | .201
|
| 201.201.201.0/24
|
ens224 | .200
+-------+---------+
| Rocky Linux 8.4 |
| host200 |
+-------+---------+
ens192 | .200
|
| 200.200.200.0/24
|
lan2 | .1
+-------+---------+
| Yamaha RTX 810 |
| R1 |
+-------+---------+
lan1 | .1
|
| 192.168.100.0/24
|
ens192 | .100
+-------+---------+
| Rocky Linux 8.4 |
| host100 |
+-------+---------+
ens224 | .100
|
| 192.168.101.0/24
|
ens192 | .101
+-------+---------+
| Rocky Linux 8.4 |
| host101 |
+-----------------+
初期設定
GUIでlan2のIPアドレスを設定した後にとLAN側へのstatic routeが設定されている状態で動作確認をします。
[R1:RTX810] ip route default gateway 200.200.200.200 ip route 192.168.0.0/16 gateway 192.168.100.100 ip keepalive 1 icmp-echo 10 5 200.200.200.200 ip lan1 address 192.168.100.1/24 ip lan2 address 200.200.200.1/24 ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 10103 0 101032 ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 1010 99 dynamic 101080 101081 101082 101083 101084 101085 101098 101099 ip lan2 nat descriptor 200 provider lan1 name LAN: provider lan2 name PRV/0/1/5/0/0/0: ip filter 101000 reject 10.0.0.0/8 * * * * ip filter 101001 reject 172.16.0.0/12 * * * * ip filter 101002 reject 192.168.0.0/16 * * * * ip filter 101003 reject 192.168.100.0/24 * * * * ip filter 101010 reject * 10.0.0.0/8 * * * ip filter 101011 reject * 172.16.0.0/12 * * * ip filter 101012 reject * 192.168.0.0/16 * * * ip filter 101013 reject * 192.168.100.0/24 * * * ip filter 101020 reject * * udp,tcp 135 * ip filter 101021 reject * * udp,tcp * 135 ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 101024 reject * * udp,tcp 445 * ip filter 101025 reject * * udp,tcp * 445 ip filter 101030 pass * * icmp * * ip filter 101031 pass * * established * * ip filter 101032 pass * * tcp * ident ip filter 101033 pass * * tcp ftpdata * ip filter 101034 pass * * tcp,udp * domain ip filter 101035 pass * * udp domain * ip filter 101036 pass * * udp * ntp ip filter 101037 pass * * udp ntp * ip filter 101098 reject-nolog * * established ip filter 101099 pass * * * * * ip filter 500000 restrict * * * * * ip filter dynamic 101080 * * ftp ip filter dynamic 101081 * * domain ip filter dynamic 101082 * * www ip filter dynamic 101083 * * smtp ip filter dynamic 101084 * * pop3 ip filter dynamic 101085 * * submission ip filter dynamic 101098 * * tcp ip filter dynamic 101099 * * udp nat descriptor type 200 masquerade nat descriptor address outer 200 primary telnetd host lan dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.2-192.168.100.191/24 dns server dhcp lan2 dns private address spoof on httpd host lan1
host100, host200はルーティングを許可する設定を投入します。
/sbin/sysctl -w net.ipv4.ip_forward=1
host100, host101, host200, host201はfirewalldを無効化します。
systemctl disable firewalld.service --now
動作確認 (1) LANからWANへの疎通確認
LANからWANへの疎通を確認します。host101からhost201へのping, traceroute, sshが可能である事を確認します。
[Host100:Rocky8.4] [root@host101 ‾]# ping -c 3 201.201.201.201 PING 201.201.201.201 (201.201.201.201) 56(84) bytes of data. 64 bytes from 201.201.201.201: icmp_seq=1 ttl=61 time=1.18 ms 64 bytes from 201.201.201.201: icmp_seq=2 ttl=61 time=1.24 ms 64 bytes from 201.201.201.201: icmp_seq=3 ttl=61 time=1.30 ms --- 201.201.201.201 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 5ms rtt min/avg/max/mdev = 1.177/1.240/1.302/0.058 ms [root@host101 ‾]# [root@host101 ‾]# [root@host101 ‾]# [root@host101 ‾]# traceroute -n 201.201.201.201 traceroute to 201.201.201.201 (201.201.201.201), 30 hops max, 60 byte packets 1 192.168.101.100 0.844 ms 0.733 ms 0.692 ms 2 192.168.100.1 0.657 ms 0.622 ms 0.532 ms 3 200.200.200.200 5.004 ms 4.972 ms 5.003 ms 4 201.201.201.201 5.021 ms 5.082 ms 5.101 ms [root@host101 ‾]# [root@host101 ‾]# [root@host101 ‾]# [root@host101 ‾]# ssh 201.201.201.201 Last login: Sat Jul 3 19:06:55 2021 from 200.200.200.1 [root@host201 ‾]#
動作確認 (2) WANからLANへの疎通確認
WANからLANへの疎通を確認します。host201からhost101へのping, traceroute, sshが可能である事を確認します。
[Host100:Rocky8.4] [root@host201 ~]# ping -c 3 192.168.101.101 PING 192.168.101.101 (192.168.101.101) 56(84) bytes of data. 64 bytes from 192.168.101.101: icmp_seq=1 ttl=61 time=1.01 ms 64 bytes from 192.168.101.101: icmp_seq=2 ttl=61 time=1.16 ms 64 bytes from 192.168.101.101: icmp_seq=3 ttl=61 time=1.10 ms --- 192.168.101.101 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 5ms rtt min/avg/max/mdev = 1.007/1.089/1.160/0.068 ms [root@host201 ~]# [root@host201 ~]# [root@host201 ~]# traceroute -n 192.168.101.101 traceroute to 192.168.101.101 (192.168.101.101), 30 hops max, 60 byte packets 1 201.201.201.200 1.324 ms 1.282 ms 1.230 ms 2 200.200.200.1 1.175 ms 0.993 ms 0.915 ms 3 192.168.100.100 0.870 ms 0.655 ms 0.578 ms 4 192.168.101.101 1.078 ms 1.003 ms 0.958 ms [root@host201 ~]# [root@host201 ~]# [root@host201 ~]# ssh 192.168.101.101 Last login: Sat Jul 3 17:25:26 2021 from 201.201.201.201 [root@host101 ~]#
