NEC Aterm WF1200HPのパケットフィルタリング設定

研究室でつかっている無線LANルータNEC Aterm WF1200HPのパケットフィルタリング設定が「外から内は基本禁止」「内から外は基本許可」という設定になっていないように見えたので、先ほどのフィルタリングポリシーに設定しなおした。

元設定

「詳細設定」→「ポートフィルタリング設定」で設定されていたのは以下のとおり。てっきり「外から内は基本禁止」となっていると思っていたのだけど、「外から内は基本許可」だった。もしかしたら、標準フィルタとして設定しているのかもしれないけどそのような記述は探せなかった(NEC Aterm サポートデスク)。

種別 方向 プロトコル 送信元 送信元ポート 宛先 宛先ポート 優先度
廃棄 out UDP any any any 137-139 1
廃棄 out TCP any any any 137-139 2
廃棄 out UDP any any any 445 3
廃棄 out TCP any any any 445 4
廃棄 out TCP any any any 2049 5
廃棄 out UDP any any any 2049 6
廃棄 out TCP any any any 1243 7
廃棄 out TCP any any any 12345 8
廃棄 out TCP any any any 27374 9
廃棄 out TCP any any any 31785 10
廃棄 out UDP any any any 31789 11
廃棄 out UDP any any any 31791 12
廃棄 in TCP any any any 1243 13
廃棄 in TCP any any any 12345 14
廃棄 in TCP any any any 27374 15
廃棄 in TCP any any any 31785 16
廃棄 in UDP any any any 31789 17
廃棄 in UDP any any any 31791 18

追加設定

元設定に加えて以下の設定を行った。

廃棄 in IP 10.0.0.0/8   any   20
廃棄 in IP 172.16.0.0/24   any   21
廃棄 in IP 192.168.0.0/24   any   22
廃棄 out IP any   10.0.0.0/8   23
廃棄 in IP any   172.16.0.0/12   24
廃棄 out IP any   192.168.0.0/24   25
通過 in UDP any any any 53 30
通過 in TCP rst any any any any 46
通過 in TCP ack any any any any 47
廃棄 in UDP any any any any 48
廃棄 in TCP any any any any 49
廃棄 in IP any   any   50


以下、解説。

  • 優先度20~25のフィルターはIPアドレス・スプーフィング攻撃(ip spoofing)に対処するフィルタ
  • 優先度 30 のフィルタはDNSの問い合わせの返答を受け付けるためのもの(これを設定しないとDNSを使ってURLからIPアドレスの変換ができない)
  • 優先度 46と47は、TCPが確立済みのパケットを通すもの(ip filterコマンドに出てくるestablishedってなんですか? )。これを設定しないとサーバとやりとるするサービス(Web閲覧、メール、SSHなど)を使えない。
  • 優先度48~50は、ルータの外から内へ向かってくるバケットを全部廃棄するもの。50だけで十分だとは思う。この設定で「外から内は基本禁止」を実現している。

上記の設定だとpingなどのICMPパケットへも一律に破棄している。ただ、ルータの外からのICMPパケットには反応しなくてもよいかなと思うのでとりあえずこれで行く予定。

おわりに

それにしても、いつから「外から内は基本禁止」にしなくなったの?ログにでていたポートスキャンの記録を見るかぎり、デフォルトで「外から内は基本禁止」にしていないと思うのだけど。