レビューメディア「ジグソー」

セキュリティ強化のため設置(config公開)

しばらく前に故障・産廃品として転がっているのをゲットした品です。

 

故障内容は、セッションがよく切れるということによるクレーム品。

しかし!

交換要求してきたところはそういうのにシビアなお客様。

 

会社の自席で検証したところ・・・なんも問題ないように見えるんですよね~

負荷をかけても不安定になるそぶりもないし・・・

 

よくあるファームウェアのバグか、未チューニング状態ではショートパケットですぐ落ちるYAMAHA特有の問題ではないのか?

と思いホクホク顔でもって帰り(廃棄品持ち帰り許可とってますよ?)、家の押入れの奥にしまいこんでいました。

 

しかし、このたび思い立って我家のネットワークのセキュリティ向上のために利用することにしました。

 

 

LAN1が通常ネットワーク、LAN2がインターネット向け、LAN3がサーバ用DMZ。

 

そしてゴリゴリにフィルターをいれ、ショートパケット対策も施し、他セキュリティをしっかりやりこんで満足いくルーターが完成したのです。

まぁそのコンフィグは仕事中に作ったのですが・・・(w

 

そして導入以来一度もセッションは落ちてない・・・

 

家庭ではパワフルすぎる気もしますが、いろいろできるというのはいいですよね~

 

12/06/11 追記

同じYAMAHAを使ってる人の参考になれば・・・と思ってコンフィグ公開。

一部*に置き換えてます。

質問やこうしたらどう?みたいな意見があったらコメントよろしく~

 

# show config
# RTX1200 Rev.10.01.48 (Tue Apr 2 08:14:18 2013)
# MAC Address : 00:a0:de:**:**:**, 00:a0:de:**:**:**, 00:a0:de:**:**:**
# Memory 128Mbytes, 3LAN, 1BRI
# main: RTX1200 ver=c0 serial=D26****** MAC-Address=00:a0:de:**:**:** MAC-Addr
ess=00:a0:de:**:**:** MAC-Address=00:a0:de:**:**:**
# Reporting Date: Jun 11 07:20:48 2013
login password *
administrator password *
security class 1 off off off
system led brightness 1
ip route default gateway pp 1
ip filter directed-broadcast on
ip icmp echo-reply send-only-linkup on
ipv6 prefix 1 ra-prefix@lan2::/64
ethernet filter 1 reject-log dhcp-not-bind 192.168.1.1
ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ip lan1 address 192.168.1.1/24
ip lan1 secondary address 172.16.0.1/24
ip lan1 secure filter in 1000 1099 1199
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1
ipv6 lan1 mld router version=2
ethernet lan1 filter in 1 2
ipv6 lan2 mld host version=2
ip lan3 address 192.168.10.1/24
ip lan3 secure filter in 3000 3001 7000
ip lan3 secure filter out 7000 dynamic 351 352 353 354 355 357 358 359 397 398 399
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ****@****.*** ********
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 2006 2007 2008 2301 2302 2303 2304 2305 2306 2307 2308 2309 6000 dynamic 301 302 303 304 305 307 308 309
ip pp secure filter out 2000 2001 2002 2003 2004 2005 7000 dynamic 100 101 102 103 104 105 106 997 998 999
ip pp intrusion detection in on
ip pp nat descriptor 1
pp enable 1
ip filter 9 pass * * tcp * submission
ip filter 1000 pass * * udp dhcpc dhcps
ip filter 1099 reject 172.16.0.0/24 *
ip filter 1199 pass 192.168.1.0/24 *
ip filter 2000 reject * * udp,tcp 135 *
ip filter 2001 reject * * udp,tcp * 135
ip filter 2002 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 2003 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 2004 reject * * udp,tcp 445 *
ip filter 2005 reject * * udp,tcp * 445
ip filter 2006 reject 192.168.1.0/24 *
ip filter 2007 reject 192.168.10.0/24 *
ip filter 2008 pass * 192.168.10.0/24 icmp
ip filter 2301 pass * 192.168.10.250 tcpflag=0x0002/0x0017 * www
ip filter 2302 pass * 192.168.10.250 tcpflag=0x0002/0x0017 * https
ip filter 2303 pass * 192.168.10.250 tcpflag=0x0002/0x0017 * smtp
ip filter 2304 pass * 192.168.10.250 tcpflag=0x0002/0x0017 * pop3
ip filter 2305 pass * 192.168.10.250 tcpflag=0x0002/0x0017 * domain
ip filter 2306 pass * 192.168.10.250 udp * domain
ip filter 2307 pass * 192.168.10.250 tcpflag=0x0002/0x0017 * 21
ip filter 2308 pass * 192.168.10.250 tcpflag=0x0002/0x0017 * 22
ip filter 2309 pass * 192.168.10.250 tcpflag=0x0002/0x0017 * submission
ip filter 3000 reject * 192.168.10.1 tcp * telnet
ip filter 3001 reject * 192.168.1.0/24
ip filter 3007 pass * 192.168.1.0/24 tcp ftp *
ip filter 6000 reject * * * *
ip filter 7000 pass * * * *
ip filter dynamic 100 * * ftp syslog=off
ip filter dynamic 101 * * www syslog=off
ip filter dynamic 102 * * domain syslog=off
ip filter dynamic 103 * * smtp syslog=off
ip filter dynamic 104 * * pop3 syslog=off
ip filter dynamic 105 * * https syslog=off
ip filter dynamic 106 * * ntp syslog=off
ip filter dynamic 301 * 192.168.10.250 www syslog=off
ip filter dynamic 302 * 192.168.10.250 https syslog=off
ip filter dynamic 303 * 192.168.10.250 smtp syslog=off
ip filter dynamic 304 * 192.168.10.250 pop3 syslog=off
ip filter dynamic 305 * 192.168.10.250 domain syslog=off
ip filter dynamic 307 * 192.168.10.250 ftp syslog=off
ip filter dynamic 308 * 192.168.10.250 ssh syslog=off
ip filter dynamic 309 * 192.168.10.250 filter 9 syslog=off
ip filter dynamic 351 192.168.1.0/24 192.168.10.250 www syslog=off
ip filter dynamic 352 192.168.1.0/24 192.168.10.250 https syslog=off
ip filter dynamic 353 192.168.1.0/24 192.168.10.250 smtp syslog=off
ip filter dynamic 354 192.168.1.0/24 192.168.10.250 pop3 syslog=off
ip filter dynamic 355 192.168.1.0/24 192.168.10.250 domain syslog=off
ip filter dynamic 357 192.168.1.0/24 192.168.10.250 ftp syslog=off
ip filter dynamic 358 192.168.1.0/24 192.168.10.250 ssh syslog=off
ip filter dynamic 359 192.168.1.0/24 192.168.10.250 ntp syslog=off
ip filter dynamic 397 192.168.1.0/24 192.168.10.250 ping syslog=off
ip filter dynamic 398 192.168.1.0/24 192.168.10.250 tcp
ip filter dynamic 399 192.168.1.0/24 192.168.10.250 udp
ip filter dynamic 997 * * ping
ip filter dynamic 998 * * tcp
ip filter dynamic 999 * * udp
nat descriptor type 1 masquerade
nat descriptor timer 1 600
nat descriptor timer 1 tcpfin 30
nat descriptor masquerade rlogin 1 on
nat descriptor masquerade static 1 1 192.168.10.250 tcp www
nat descriptor masquerade static 1 2 192.168.10.250 tcp https
nat descriptor masquerade static 1 3 192.168.10.250 tcp smtp
nat descriptor masquerade static 1 4 192.168.10.250 tcp pop3
nat descriptor masquerade static 1 5 192.168.10.250 tcp domain
nat descriptor masquerade static 1 6 192.168.10.250 udp domain
nat descriptor masquerade static 1 7 192.168.10.250 tcp 21
nat descriptor masquerade static 1 8 192.168.10.250 tcp 22
nat descriptor masquerade static 1 9 192.168.10.250 tcp submission
syslog notice off
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope lease type 1 bind-only fallback=2
dhcp scope 1 192.168.1.100-192.168.1.250/24
dhcp scope bind 1 192.168.1.240 ethernet 4c:e6:76:**:**:**
dhcp scope bind 1 192.168.1.241 ethernet 00:a0:b0:**:**:**
dhcp scope bind 1 192.168.1.202 ethernet 4c:e6:76:**:**:**
dhcp scope bind 1 192.168.1.201 ethernet 10:6f:3f:**:**:**
dhcp scope bind 1 192.168.1.100 ethernet 30:85:a9:**:**:**
dhcp scope bind 1 192.168.1.120 ethernet 10:0e:2b:**:**:**
dhcp scope bind 1 192.168.1.121 ethernet a4:d1:d2:**:**:**
dhcp scope bind 1 192.168.1.150 ethernet 08:00:27:**:**:**
dhcp scope bind 1 192.168.1.180 ethernet 04:20:9a:**:**:**
dhcp scope bind 1 192.168.1.122 ethernet 60:fb:42:**:**:**
dhcp scope bind 1 192.168.1.123 ethernet a4:d1:d2:**:**:**
dhcp scope bind 1 192.168.1.216 ethernet 00:c0:8f:**:**:**
dhcp scope bind 1 192.168.1.130 ethernet 00:1f:a7:**:**:**
dhcp scope bind 1 192.168.1.131 ethernet 00:1d:bc:**:**:**
dhcp scope bind 1 192.168.1.132 ethernet 58:bd:a3:**:**:**
dhcp scope bind 1 192.168.1.133 ethernet 50:26:90:**:**:**
dhcp scope bind 1 192.168.1.101 ethernet 00:22:43:**:**:**
dhcp scope bind 1 192.168.1.102 ethernet 4c:e6:76:**:**:**
dhcp scope bind 1 192.168.1.220 ethernet 00:19:94:**:**:**
dhcp scope bind 1 192.168.1.103 ethernet b8:03:05:**:**:**
dhcp scope bind 1 192.168.1.104 ethernet c8:f7:33:**:**:**
dhcp scope bind 1 192.168.1.235 ethernet 00:e0:00:**:**:**
dhcp scope bind 1 192.168.1.134 ethernet 28:0d:fc:**:**:**
dhcp scope 2 172.16.0.10-172.16.0.100/24
dns server 202.224.32.1 202.224.32.2
dns server pp 1
dns server select 1 192.168.10.250 any ******.net
dns server select 2 pp 1 any . restrict pp 1
dns server select 3 202.224.32.1 202.224.32.2 any .
dns private address spoof on
httpd service off
upnp use on
upnp external address refer pp 1
http revision-up permit off

 

 

 

  • 購入金額

    0円

  • 購入日

    不明

  • 購入場所

21人がこのレビューをCOOLしました!

コメント (2)

  • れいんさん

    2013/06/11



    とても参考になります
    最近よく通信が遅くなるので
    やっぱり初期設定で使ってたら
    ダメなんですね
    いろいろ勉強して
    使えるようにしなきゃ

  • eulerさん

    2013/06/11

    >れいんさん
    YAMAHAはnatのセッションタイマーがかなりながいのでnatdescriptorのところに下の2行いれてみてください。

    nat descriptor timer 1 600
    nat descriptor timer 1 tcpfin 30

    これだけで、かなり安定性があがりますよ~
    ちなみに私はnat descriptor番号を1にしてますが、デフォルトだと1000になってるかも・・・
    その辺は自分の環境に合わせて変更してくださいね。

ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。

YouTube の動画を挿入

YouTube の URL または動画の ID を入力してください

動画の ID が取得できません。ID もしくは URL を正しく入力してください。

ニコニコ動画の動画を挿入

ニコニコ動画の URL または動画の ID を入力してください

動画の ID が取得できません。ID もしくは URL を正しく入力してください。

ZIGSOWリンク挿入

検索対象とキーワードを入力してください

    外部リンクを挿入

    リンク先の URL とタイトルを入力してください

    URL を正しく入力してください。

    画像を挿入(最大サイズ6MB)

    画像を選択してください

    ファイルサイズが6MBを超えています

    別の画像を追加

    このアイテムを持ってる人のレビュー

    このレビューもチェック

    新着レビュー

    カテゴリーからレビューを探す 一覧へ

    eulerさん

    ヤマハ ヤマハギガアクセスVPNルーター RTX1200
    Amazon.co.jpへ
    持ってる! 気になる!

    持ってる人 (10)

    ZIGSOW にログイン

    ZIGSOW会員登録(無料)はこちらから

    ログインできない場合はこちら