|   HOME  |   ゲストブック  |   掲示板  |     |   更新履歴  |   リンク  |   お問合せ  


ルーターの設定
ルータの設定

■ ルータの設定

NEC製 COMSTERZ ROUTER(CMZ-RT-DP2)を使った設定を紹介いたしますので参考にして下さい。 このページでは、図のネットワーク構成において1台のサーバ(WWW,FTP,Mail)を公開する事を前提にしています。また、クライアントのマシンからもインターネットへアクセスができる事を想定しています。




ネットワーク構成図


■ 管理者(設定)画面
ルータの基本的な設定は、この管理者(設定)画面より行われます。管理者(設定)画面を呼出すには、ブラウザでURLを指定して行います。

http://192.168.1.254/admin

または、次のような記述をテキストエディタなどで書き、.URLの拡張子でディスクトップにショートカットを貼り付ければいちいちブラウザを立上げなくても直接設定画面を表示させることも出来ます。

URL=http://192.168.1.254/admin.htm

管理者

管理者(設定)の画面


注)各項目の設定後は、この管理画面で『保存』をクリックするか、各コーナ左上に表示される『設定保存』をクリックします。この操作を忘れると電源オフもしくはリブートで設定した値が消えてしまいます。

■ F/W Ver(ファームウェア バージョン)
ルータの設定を行う前に、ファームウェアのバージョンを確認し最新版へ変更して下さい。
最新版(Ver5.2.6)は、下記のurlから入手できます。
http://ccsd.biglobe.ne.jp/comstarz/download/index.html

詳しいルーターの技術情報は、次のURLを参照下さい。

http://www.bcom.nec.co.jp/comstarz/index.html

・F/W バージョンの確認は、『管理画面』→『その他』→『バージョン情報』で確認します。

バージョンチェック

バージョン情報の画面

■ 常時接続(フレッツISDN)の設定

常時接続に対応させるには、かんたん設定画面を開き常時接続にチェックをつけて行います。この設定で回線の切断は起きていません。もし、切断されるようならDiCEを使ってIPアドレスの自動登録を行います。

かんたん設定[flets]

かんたん設定の画面


■ パスワードの設定

不用意なアクセスをさせないようにユーザー名とパスワードを必ず設定します。

・管理者(設定)からパスワードを呼出しパスワード設定にて同じパスワードを2回入力します。その後、画面右上の『設定』ボタンをクリックし、画面左側の『設定保存』をクリックします。これを忘れると電源オフで消えてしまいます。

パスワード

パスワード設定


再度、管理画面を呼出しますと、Windowsの『ネットワークパスワード入力』が表れます。ここで、ユーザー名と先ほど入力したパスワードを再度登録します。
少し、厄介ですがセキュリティの為と思い我慢します。

network-passwordの設定

ネットワークパスワード入力


■ NATe拡張機能の設定

WWWサーバ、FTPサーバ、Mailサーバの各サービスをインターネット側からアクセスできるようにNATe(IPマスカレード)の設定を行います。


NATe拡張機能


番号開始終了IPアドレス備 考
1 80空欄192.168.1.1http
2 20 21 192.168.1.1FTP
3 25空欄192.168.1.1SMTP
4110空欄192.168.1.1POP


■ フィルターの設定

NATeを設定する事で、簡単なファイヤウォールを設定できますが、さらにフィルタの設定を加えセキュリティを向上させます。不正アクセスや不正中継の踏台にされないために、確りとフィルタの設定を行って下さい。



フィルタの設定例


- ご案内 -
まえがき
 何が必要ですか
 メリット
 デメリット
 番外
 お約束ごと
サーバ設置の前準備
 ハードウェア
 その他,ハードウェア
 ソフトウェア
Win2000 セットアップ
 セットアップFDの作成
 クリーンインストール
 インストールの注意
 SPのインストール
 セキュリティの設定
サーバのセットアップ
 共通のフォルダ
 WWWサーバ
  httpd.confの設定例
  apacheセキュリティ対策
  バーチャルホスト設定
  perlのセットアップ
FTPサーバ
  WarFTPインストール
  WarFTPセットアップ
  WarFTPセキュリティ対策
Mailサーバ
  ArGoSoftのセットアップ
ルータの設定
サーバの公開

 方向  種類  プロトコル  送信元アドレス   送信先アドレス  元ポート 先ポート
1 アウト 不許可 全て 全て 169.254.0.0 /16 全て全て
2 アウト 不許可 全て 全て 224.0.0.0 /4 全て全て
11 イン 不許可 全て 10.0.0.0 /8 全て 全て全て
12 イン 不許可 全て 172.16.0.0 /12 全て 全て全て
13 イン 不許可 全て 192.168.0.0 /16 全て 全て全て
14 イン 不許可 全て 192.168.0.0 /32 全て 全て全て
15 イン 不許可 全て 192.168.0.255 /32 全て 全て全て
16 イン 不許可 ICMP 全て 全て 全て全て
21 イン 許可 TCP 全て 192.168.1.1 /32 全て80
22 イン 許可 TCP_SYN 全て 192.168.1.1 /32 全て21
23 イン 許可 TCP 全て 192.168.1.1 /32 全て25
24 イン 不許可 TCP 全て 192.168.1.1 /32 全て110
25 イン 許可 TCP 全て 全て 全て1024-65535
26 イン 許可 TCP_SYN 全て 全て 全て1024-65535
31 アウト 不許可 全て 全て 10.0.0.0 /8 全て全て
32 アウト 不許可 全て 全て 172.16.0.0 /12 全て全て
33 アウト 不許可 全て 全て 192.168.0.0 /16 全て全て
34 イン 不許可 全て 全て 全て 全て全て


24メールを外出先などで読む場合、『許可』へ変更します。許可の設定は、セキュリティ上お奨めできません。

■ 設定表の見方
・サーバのIPアドレスを、192.168.1.1で想定しています。サブネットマスクは255.255.255.255にしています。これを書く場合 192.168.1.1/32と表します。

サブネットマスクを表す時の/16や/32は、次のような意味です
/16は、先頭から"1"が16個(1111・・・・0000000)並ぶ事を表ます。
/32は、先頭から"1"が32個(1111・・・・1111111)並ぶ事を表ます。
アドレス/マスク送信元(先)アドレスマスク
10.0.0.0/810.0.0.0255.0.0.0
172.16.0.0/12172.16.0.0255.240.0.0
192.168.0.0/16192.168.0.0255.255.0.0
192.168.0.0/32192.168.0.0255.255.255.255
192.168.0.255/32192.168.0.255255.255.255.255
192.168.1.1/32192.168.1.1255.255.255.255


フィルタ番号 説     明 
1,2 Comstarzのディフォルト値は、そのまま利用します。
11,12,13,31,31,32,33 IP Spoofing対策
14,15,16 smurf DOS対策
21,22,23,24 WWW,FTP,Mailサービスの許可
25,26 LANからインターネット側へ向けた通信の確保
34 全ての通信を不許可

・IP Spoofing対策
IP Spoofingとは、発信元のIPアドレスを自サイトのIPアドレスと偽り、内部からの通信と見せ掛けたアクセスの事です。
インターネットからの届くアドレスがローカルIPアドレスというのは明らかに問題です。ローカルIPアドレスを外部から受付けない。および外に出さないようにイン/アウトを共に不許可にします。
・smurf DOS対策
smurf DOSとは、PCやルータに大量のPingを送り付ける事で通信を麻痺させる攻撃です。Pingに含まれたICMP(Internet Control Message Protcol)にマシンが反応しておこります。ブロードキャスト(一斉通信)の設定を不許可にして対策します。
・インターネットの通信は、WWW,FTP,Mailサーバを除き、全て不許可を前提にしています。Comstarzの仕様は、フィルタに許可を1件でも設定した場合、全てのフィルタが不許可になる為、意図的にこれを利用します。LANからインターネットへは、port番号の定義を利用し特に制限を設けていません。Comstarzの設定て定義された標準フィルタはそのまま利用します。
・フィルタを設定する番号は、若い番号ほどプライオリティが高くなります。その為、あとでフィルタの追加が出来るように適度に番号を空けて設定します。

2002.07.31 広告強制撤去
Copyright© huonpine.net,All right reserved