わいえむねっと

Contents
Categories
Calendar
2012/12
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31
Monthly Archives
~2000/01
Recent Entries
RSS1.0
Templates
Information
Processed: 0.054 sec
Chashed: -
2012/12/16 Sun
RTX1100設定メモ。

自宅のインターネット環境は

  • 複数プロバイダ契約のPPPoEマルチセッション。
  • セッション1はクライアント用。内から外の非固定IP。
  • セッション2はサーバ用。外から内の固定IP。

といった感じなのですが、まずは現状リプレース。



ヤマハ公式の設定例のうち、

自社サーバーを公開する(1) ≪ 設定例
http://jp.yamaha.​com/products/network/solution/server/

をベースに、マルチセッション対応と微調整。

#
# LANのインタフェースの設定
#
ip lan1 address 192.168.0.1/24

#
# DMZのインタフェースの設定
#
#ip lan3 address 192.168.10.1/24 # 削除

#
# WANのインタフェースの設定
#
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on                                  # 追加
ppp ipcp msext on
ppp ccp type none                                      # 追加
ip pp mtu 1454
#ip pp address (グローバルアドレス)                    # 削除
ip pp nat descriptor 1
ip pp intrusion detection in on
pp enable 1
ip route default gateway pp 2 filter 4000 gateway pp 1 # 変更

pp select 2 # 追加ここから
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 2
ip pp intrusion detection in on
pp enable 2 # ここまで

#
# NATの設定
#
nat descriptor type 1 masquerade
nat descriptor type 2 masquerade                           # 追加
nat descriptor address outer 2 (グローバルアドレス)        # セッション変更
nat descriptor masquerade static 2 1 192.168.0.102 tcp www # セッション、セグメント変更
nat descriptor masquerade static 2 2 192.168.0.103 tcp 21  # 〃

#
# DHCPの設定
#
dhcp service server
dhcp scope 1 192.168.0.2-192.168.0.100/24

#
# DNSの設定
#
#dns server (ISPより指定されたDNSサーバのIPアドレス) # 削除
dns server pp 1                                      # 追加
dns private address spoof on

#
# フィルタの設定
#
ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 1031 pass * 192.168.0.102 tcpflag=0x0002/0x0017 * www # セグメント変更
ip filter 1032 pass * 192.168.0.103 tcpflag=0x0002/0x0017 * 21  # 〃
ip filter 1040 pass * 192.168.0.0/24 tcp * ident                # 追加
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter 4000 pass 192.168.0.101-192.168.0.200 * * * *         # 追加
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
#ip filter dynamic 200 192.168.0.0/24 * telnet                  # 削除
ip filter dynamic 201 * 192.168.0.102 www                       # セグメント変更
ip filter dynamic 202 * 192.168.0.103 ftp                       # 〃

#ip lan3 secure filter in 2000                                  # 削除
#ip lan3 secure filter out 3000 dynamic 100 101 200             # 削除
pp select 1
ip pp secure filter in 1020 1030 1040 2000                      # 変更
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
pp enable 1
pp select 2                                                     # 追加ここから
ip pp secure filter in 1020 1030 1040 1031 1032 2000 dynamic 201 202
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
pp enable 2                                                     # ここまで



今回はリプレースのみなのでセグメントは分けませんでしたが、そのうち分離したい。
せっかくインタフェースが3つあることだし。