MN128 SOHO Slot-in Ver. 1.70の設定
これが最後の更新です。
|
|
# MN128-SOHO-Slotin 1.70 Sep
7 2001 17:09:46 # MAC Address: 00:80:b8:30:2c:24 sys adjust interface remote 1 sys btnconn 0 sys color blue sys encrypt b102e88cfd3b91e1 user admin password tXCuOv57Qry7SkzoYgxUma encrypted user 1 access off user 2 access off user 3 access off analog dialin 0 number XXX-XXX-XXXX analog dialin 0 recvincall 1 on analog dialin 0 recvport port1 analog flexphone callwait on ip address 192.168.0.1/24 ip dhcp server off ip dns relay off ip filter 1 reject in 10.0.0.0/8 * * * * remote * ip filter 2 reject in 172.16.0.0/12 * * * * remote * ip filter 3 reject in 192.168.0.0/16 * * * * remote * ip filter 4 reject out * 10.0.0.0/8 * * * remote * ip filter 5 reject out * 172.16.0.0/12 * * * remote * ip filter 6 reject out * 192.168.0.0/16 * * * remote * ip filter 7 pass in * * icmp * * remote * nolog ip filter 8 pass in * * udp * domain remote * nolog ip filter 9 pass in * * tcp * domain remote * nolog ip filter 10 pass in * * tcp * www remote * nolog ip filter 11 pass in * * tcp * 443 remote * nolog ip filter 12 pass in * * tcp * smtp remote * nolog ip filter 13 pass in * * tcp * 113 remote * nolog ip filter 14 pass in * * tcp * ntp remote * nolog ip filter 15 pass in * * udp * ntp remote * nolog ip filter 16 pass in * * udp domain * remote * nolog ip filter 17 pass in * * tcp domain * remote * nolog ip filter 18 pass in * * tcp www * remote * nolog ip filter 19 pass in * * tcp 443 * remote * nolog ip filter 21 pass in * * tcp smtp * remote * nolog ip filter 22 pass in * * tcp 113 * remote * nolog ip filter 23 pass in * * tcp pop3 * remote * nolog ip filter 24 pass in * * tcp nntp * remote * nolog ip filter 25 pass in * * tcp ftp * remote * nolog ip filter 26 pass in * * tcp ftpdata * remote * nolog ip filter 27 pass in * * tcp 5001-5010 * remote * nolog ip filter 28 pass in * * tcp 7775-7777 * remote * nolog ip filter 29 pass in * * tcp 8888 * remote * nolog ip filter 30 pass in * * tcp 9999 * remote * nolog ip filter 31 pass in * * tcp 554 * remote * nolog ip filter 32 pass in * * tcp 7070 * remote * nolog ip filter 33 pass in * * udp * 6970-7170 remote * nolog ip filter 34 pass in * * tcp 8875-8876 * remote * nolog ip filter 35 pass in * * tcp * 6699 remote * nolog ip filter 36 pass in * * tcp 1863 * remote * nolog ip filter 37 pass in * * tcp 8080 * remote * nolog ip filter 38 pass in * * tcp 5190 * remote * nolog ip filter 39 pass in * * udp * 6257 remote * nolog ip filter 40 pass in * * udp 6257 * remote * nolog ip filter 41 pass in * * tcp 6699 * remote * nolog ip filter 62 reject in * * * 137-139 * local ip filter 63 reject in * * * * 137-139 local ip filter 64 reject in * * * * * remote * ip las accept off ip nat 1 192.168.0.100/icmp ipcp remote * ip nat 2 192.168.0.100/tcp/www ipcp remote * ip nat 3 192.168.0.100/tcp/smtp ipcp remote * ip nat 4 192.168.0.100/tcp/113 ipcp remote * ip nat 5 192.168.0.2/udp/6790-7170 ipcp remote * ip nat 6 192.168.0.2/tcp/6699 ipcp remote * ip nat 7 192.168.0.2/udp/6257 ipcp remote * ip nat 32 */*/* ipcp remote * ip rip off ip route 0.0.0.0/0/7 remote 0 auto ip syslog host 192.168.0.100 card air essid MNSS302C24 card air11 channel 1 card air11 ssid MN80211B302C24 card ether ip dhcpc function off remote 0 channel pppoe remote 0 disconnect idle 0 remote 0 disconnect max 0 remote 0 limit charge 0/7 remote 0 limit count 0/60 remote 0 name "Flet's ADSL" remote 0 number PPPoE remote 0 pppoe mss size 1414 remote 0 send id ab1234567@iij.ad.jp remote 0 send password srt0GKOnkvFO#a encrypted remote 1 call schedule terminate off remote 1 call schedule channel channel 1bbacp remote 1 channel pppoe remote 1 disconnect change terminate off remote 1 disconnect idle 0 remote 1 disconnect max 0 remote 1 dnsserver 172.26.35.131 remote 1 limit charge 0/7 remote 1 limit count 0/60 remote 1 limit reconnect permit on remote 1 name "Flet's Square" remote 1 number PPPoE remote 1 send id guest@flets remote 1 send password XRyLaB3Ch8 encrypted |
解説
Ver.1.60では、(6)と(7)の説明が逆になっていましたm(__)m
|
(1)
|
"XXXX"の部分は、本当はルーターの管理者権限を持ったユーザーのユーザー名が入ります。デフォルトは"admin"になっていると思いますが、セキュリティを考慮して変更した方がいいでしょう。 また、私は事実上不必要な"userX"アカウントは全て無効にしてあります。もし利用するのならば、こちらも変更した方がいいでしょう。 |
|
(2)
|
隠してありますが、ここは自分の電話番号が入るところです。 |
|
(3)
|
ルーター自体のIPアドレスを指定するところです。XXX.XXX.XXX.XXX/XXの形式で指定し、/の前がIPアドレスが、/の後がサブネットマスクを指定している部分です。 私はというと、ご覧の通りありがちなクラスCのプライベートアドレスを使用しています。 |
| (4) | ルーターのDHCPサーバー機能を利用するかどうかを決定する部分です。サーバーを家庭内LANに設置するのならば、この機能はoffにしておくべきです。 |
| (5) | AutoDNSと呼ばれる機能を利用するかどうかを決定する部分です。家庭内LANにDNSサーバーを設置する場合は、家庭内LANに存在する端末は全てそのDNSサーバーを利用することになるはずです。 私の家庭内LANには必要に応じて電源を入れる端末もいますが、その端末のDNSはLinuxサーバーを指定しているので、ここはoffになっています。 |
| (6) | 外部からプライベートアドレスを装って接続を試みるパケットを落とすためのフィルタです。(7)は自分のサーバーが乗っ取られて不正なプライベートアドレスを装って外部に攻撃を仕掛けるのを防ぐためのフィルタですが、こちらは外部の乗っ取られたサーバーが不正なプライベートアドレスを装って自分のサーバーに攻撃してくるのを防ぐためのフィルタになります。 |
| (7) | プライベートIPアドレス発のパケットがインターネット側に出て行かないように制限をかけているフィルタです。自分が利用しているネットワークのクラスだけ書けばいい(私の場合はクラスC)という話はありますが、例えばサーバーを乗っ取られて踏み台として利用される場合、そのようなIPアドレスをかたって他のサーバーに攻撃をかければ、
自分の足跡が見つかりにくいということがありますので、一応書いてあります。 また、その逆でプライベートアドレス発でLinux Serverにアクセスしてくるパケットを落とす必要もあるのですが、こちらはフィルタ番号64番で止まるので特に書いていません。 |
| (8) |
詳細はルーターのマニュアルに譲りますが、Destination Portが右から3番目の項目のパケットの通過を許可する設定を行っています。基本的に外部から公開サーバーに対しての接続を許可するサービスを記述することになります。 具体的にルーターの通過を 許可しているサービスは、 |
| (9) |
こちらは(6)の裏返しに相当する部分で、Source Portが右から4番目の項目のパケットの通過を許可する設定を行っています。許可しているサービスは(6)と同一です。 |
| (10) | オンラインゲームの"Ultima Online"を遊ぶための設定です。詳細はこちらを参照してください。 |
| (11) | ストーリーミングという分野ではMicrosoftさえ凌ぐ、"RealPlayer"を利用するための設定です。詳細はこちらを参照してください。 |
| (12) | いまやすっかり有名になったMP3共有ソフト"Napsterを利用するための設定です。詳細はこちらを参照してください。 |
| (13) | MSN Messengerを利用するための設定です。もっとも、これはメッセージのやり取りに利用されるポートで、例えばファイルの交換などを行いたい場合は、これだけでは足りません。私はそのような機能を利用しないので、特に設定していません。 |
| (14) | プロバイダのProxy Serverを利用するための設定です。私のようにガチガチに固めていると、普通利用しないようなポートに対して接続を行う場合(Ex. 8000番ポートを利用して立てられてるYahooBBのWebサーバー)にフィルタに引っかかってしまうので、そのような場合にProxy Serverの利用で回避できるように設定してあります。 |
| (15) | Napsterの後継として一躍有名になった、WinMXを利用するための設定です。このWinMX、非常に癖があるソフトで、どうも仕様通りの動作をしていないような気がします。 とりあえずルーター側でこのip filter38-41の設定を行い、WinMX側でIncoming TCP Portを6699に、Incoming UDP Portを6257に設定することにより、完全動作することを確認しています。 |
| (16) | 最後の項目の"local"は"家庭内LAN側"を意味します。つまり家庭内LAN側から受け取ったSource
PortもしくはDestination Portが137~139のパケットを拒否するように設定しています。 この137~139のポートが何に使用されるかというと、Microsoft社が開発したNet BIOSプロトコルに使用されています。誤解を恐れずに言い切ると、Windows系のOSで言うところの "ネットワークコンピューター"を利用するために使用されるポートです。このポートを閉じておかないと、インターネット上のどこかの誰かにあなたのWindowsの共有フォルダをのぞかれる、なんてことになりますので、気をつけましょう。 |
|
(17) |
(6)~(9)の全てのルールに該当しないパケットを全て拒否する設定を行っています。この設定を行わないと、フィルタで制限した気になっていても、実は全く制限されていないということになりますので、必ず設定しましょう。 |
| (18) |
非常に長い話になるので説明はしませんが、基本的にIP Masquarade機能を利用するとLAN側のサーバーをインターネット側に公開する事は不可能になります。ここの記述はその制限を回避するための設定を行っている部分です。NATテーブルと呼ばれる機能です。 |
| (19) |
RealPlayerを利用するための設定です。RealPlayerは、外部から接続を開始することがあるので、この設定が必要になります。詳細はこちらを参照してください。192.168.0.2というIPアドレスは、RealPlayerを利用するマシン(Windows)のIPです。 |
| (20) | (16)と同じく、Napsterは外部から接続を開始することがあるので、この設定が必要になります。このポート番号はデフォルトの設定になりますので、もし別のポート番号でNapsterのサーバーを挙げる場合はそのポート番号を代わりに設定する必要があります。詳細はこちらを参照してください。 |
| (21) | WinMXのIncoming UDPを受けるための設定です。Incoming TCPを受けるための設定もする必要がありますが、デフォルトではNapsterと同じポート番号(6699)で受けるので、今回のように両方の設定がある場合には一つで代用できます。 |
| (22) | (18)のようなNATテーブルを一つでも書いてしまうと、逆に何も設定がない端末についてはインターネットへの接続が出来なくなってしまうので、ここでその他の全ての端末用のNATテーブルを定義してあります。 |
| (23) | ここは ルーターのRIP機能を設定している部分です。RIPとは、ルーター間でルーティングに必要とされる情報を交換するために利用されるプロトコルですが、ダイヤルアップ環境では基本的に必要ありません。オンにしておくと無駄なパケットが飛びますので、offにしておいた方がいいでしょう。 |
| (24) | インターネットへの自動接続をonにすると、この項目が追加されます。 |
| (25) |
ルーターのログについて設定している部分です。 |
| (26) | 無線LANカードの設定を行っている部分です。基本的にGUIで設定できるので手で設定することはないでしょう。この機能はフレッツADSLでSlot-inを利用していても利用することができます。 |
| (27) |
フレッツADSLの接続情報を設定している部分です。電話番号が見当たりませんが、フレッツADSLでは電話番号を設定する必要はありません。PPPoE(Point to Point Protocol over Ethernet)を利用して接続先の識別や認証を行うからです。こちらもGUIで設定する部分ですので、手で設定することはないでしょう。 |
| (28) | MMS(Minimum Segment Size)の設定をしています。フレッツADSLを利用している場合は、フレッツのFAQに従い、1414を設定しましょう。 |
| (29) | フレッツスクエアに接続するための設定です。しかし、結局うまく接続できなかった記憶が.... もしフレッツスクエアに接続するのであれば、ブロードバンドルーターは間に入れない方がいいでしょう。 |
