研究室でつかっている無線LANルータNEC Aterm WF1200HPのパケットフィルタリング設定が「外から内は基本禁止」「内から外は基本許可」という設定になっていないように見えたので、先ほどのフィルタリングポリシーに設定しなおした。
元設定
「詳細設定」→「ポートフィルタリング設定」で設定されていたのは以下のとおり。てっきり「外から内は基本禁止」となっていると思っていたのだけど、「外から内は基本許可」だった。もしかしたら、標準フィルタとして設定しているのかもしれないけどそのような記述は探せなかった(NEC Aterm サポートデスク)。
種別 | 方向 | プロトコル | 送信元 | 送信元ポート | 宛先 | 宛先ポート | 優先度 |
廃棄 | out | UDP | any | any | any | 137-139 | 1 |
廃棄 | out | TCP | any | any | any | 137-139 | 2 |
廃棄 | out | UDP | any | any | any | 445 | 3 |
廃棄 | out | TCP | any | any | any | 445 | 4 |
廃棄 | out | TCP | any | any | any | 2049 | 5 |
廃棄 | out | UDP | any | any | any | 2049 | 6 |
廃棄 | out | TCP | any | any | any | 1243 | 7 |
廃棄 | out | TCP | any | any | any | 12345 | 8 |
廃棄 | out | TCP | any | any | any | 27374 | 9 |
廃棄 | out | TCP | any | any | any | 31785 | 10 |
廃棄 | out | UDP | any | any | any | 31789 | 11 |
廃棄 | out | UDP | any | any | any | 31791 | 12 |
廃棄 | in | TCP | any | any | any | 1243 | 13 |
廃棄 | in | TCP | any | any | any | 12345 | 14 |
廃棄 | in | TCP | any | any | any | 27374 | 15 |
廃棄 | in | TCP | any | any | any | 31785 | 16 |
廃棄 | in | UDP | any | any | any | 31789 | 17 |
廃棄 | in | UDP | any | any | any | 31791 | 18 |
追加設定
元設定に加えて以下の設定を行った。
廃棄 | in | IP | 10.0.0.0/8 | any | 20 | ||
廃棄 | in | IP | 172.16.0.0/24 | any | 21 | ||
廃棄 | in | IP | 192.168.0.0/24 | any | 22 | ||
廃棄 | out | IP | any | 10.0.0.0/8 | 23 | ||
廃棄 | in | IP | any | 172.16.0.0/12 | 24 | ||
廃棄 | out | IP | any | 192.168.0.0/24 | 25 | ||
通過 | in | UDP | any | any | any | 53 | 30 |
通過 | in | TCP rst | any | any | any | any | 46 |
通過 | in | TCP ack | any | any | any | any | 47 |
廃棄 | in | UDP | any | any | any | any | 48 |
廃棄 | in | TCP | any | any | any | any | 49 |
廃棄 | in | IP | any | any | 50 |
以下、解説。
- 優先度20~25のフィルターはIPアドレス・スプーフィング攻撃(ip spoofing)に対処するフィルタ
- 優先度 30 のフィルタはDNSの問い合わせの返答を受け付けるためのもの(これを設定しないとDNSを使ってURLからIPアドレスの変換ができない)
- 優先度 46と47は、TCPが確立済みのパケットを通すもの(ip filterコマンドに出てくるestablishedってなんですか? )。これを設定しないとサーバとやりとるするサービス(Web閲覧、メール、SSHなど)を使えない。
- 優先度48~50は、ルータの外から内へ向かってくるバケットを全部廃棄するもの。50だけで十分だとは思う。この設定で「外から内は基本禁止」を実現している。
上記の設定だとpingなどのICMPパケットへも一律に破棄している。ただ、ルータの外からのICMPパケットには反応しなくてもよいかなと思うのでとりあえずこれで行く予定。
おわりに
それにしても、いつから「外から内は基本禁止」にしなくなったの?ログにでていたポートスキャンの記録を見るかぎり、デフォルトで「外から内は基本禁止」にしていないと思うのだけど。