加治/日誌/2010-08-07
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
[[加治/日誌]]
***アーキテクチャ [#l9a2e674]
-Fだった・・・
-伊藤さんに報告しないと・・・
**ルータの設定 [#r141848e]
ここ最近ほとんど寝ずにずっとルーターIX2015の設定をしていた・・・公式マニュアル、設定事例、コマンドリファレンス、ネットで調べまくって、ほとんどは理解できるようになったが、この設定だとWANには繋がるが、なぜかソースルーティングによる設定で、サーバーマシンの送信元IPならplala,他のマシンの送信元IPなら2routeで繋ぐ設定がどうにもできず、どちらも接続しているのに2route側で繋がるマシンが無い・・・どこが間違っているのかわからない・・・
***コマンド [#uf86cfe4]
erase startup-config
Yes
! グローバルコンフィグモード・イネーブル
enable-config
! アドミンユーザ&パスワードセッティング
!username xxxx password plain xxxx administrator
!
ntp ip enable
ntp server 210.173.160.27
ntp server 210.173.160.57
ntp server 210.173.160.87
ntp interval 3600
!
! IPルートデフォルトのI/Fは、0/0.1=WAN
ip route default FastEthernet0/0.1
!
telnet-server ip enable
telnet-server ip access-list telnet
http-server username admin
http-server ip enable
!
!
!DHCPの設定 for LAN
ip dhcp enable
!プロファイルモードへ
ip dhcp profile lan1
assignable-range 192.168.1.11 192.168.1.99
subnet-mask 255.255.255.0
default-gateway 192.168.1.1
dns-server 192.168.1.1
exit
!
!ここからインターフェースモード
!
!FE1/0.0へDHCPの設定を適用
interface FastEthernet1/0.0
ip address 192.168.1.1/24
ip dhcp binding lan1
no shutdown
exit
!
!グローバルへ戻る
!
! ロギングバッファの設定、イベントメッセージを指定サイズ分の文字数をメモリへ保存する
logging buffered 4096
! 指定のサブシステムメッセージを有効にする。ロギングレベルは"警告"
logging subsystem all warn
! タイムスタンプの設定、パラメータ(時刻)
logging timestamp timeofday
!
! アクセスリスト定義(フィルタリング)
!
!
! マルチプレクサTCPポートは通常使わないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 1
ip access-list svr-block deny udp src any sport any dest any dport eq 1
!
ip access-list svr-block deny tcp src any sport any dest any dport eq 7
ip access-list svr-block deny udp src any sport any dest any dport eq 7
! 自サーバのシステム情報を隠蔽するため遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 11
ip access-list svr-block deny udp src any sport any dest any dport eq 11
! 自サーバのシステム情報を隠蔽するため遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 15
ip access-list svr-block deny udp src any sport any dest any dport eq 15
! TELNETサービスは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 23
ip access-list svr-block deny udp src any sport any dest any dport eq 23
! bootpc、必要以上に情報を与えてしまうので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 67
ip access-list svr-block deny udp src any sport any dest any dport eq 67
ip access-list svr-block deny tcp src any sport any dest any dport eq 68
ip access-list svr-block deny udp src any sport any dest any dport eq 68
! tftp、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 69
ip access-list svr-block deny udp src any sport any dest any dport eq 69
! gopherサービスは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 70
ip access-list svr-block deny udp src any sport any dest any dport eq 70
! fingerサービスは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 79
ip access-list svr-block deny udp src any sport any dest any dport eq 79
! link、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 87
ip access-list svr-block deny udp src any sport any dest any dport eq 87
! supdup、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 95
ip access-list svr-block deny udp src any sport any dest any dport eq 95
! sunrpc、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 111
ip access-list svr-block deny udp src any sport any dest any dport eq 111
! DCE RPC、結構危険なので遮断(Blasterワームで狙われる為)
ip access-list svr-block deny tcp src any sport any dest any dport eq 135
ip access-list svr-block deny udp src any sport any dest any dport eq 135
! netbios、SAMBAを使ってるので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 137
ip access-list svr-block deny udp src any sport any dest any dport eq 137
ip access-list svr-block deny udp src any sport any dest any dport eq 138
ip access-list svr-block deny tcp src any sport any dest any dport eq 139
! uma、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 144
ip access-list svr-block deny udp src any sport any dest any dport eq 144
! snmp、ネットワーク監視サービスなので外部からは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 161
ip access-list svr-block deny udp src any sport any dest any dport eq 161
! snmp-trap、ネットワーク監視サービスなので外部からは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 162
ip access-list svr-block deny udp src any sport any dest any dport eq 162
! xdmcp、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 177
ip access-list svr-block deny udp src any sport any dest any dport eq 177
! imap3、imap3サービスを使っていないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 220
ip access-list svr-block deny udp src any sport any dest any dport eq 220
! マイクロソフト・ダイレクトホスティングSMBサービス遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 445
ip access-list svr-block deny udp src any sport any dest any dport eq 445
! exec、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 512
! bif、結構危険なので遮断
ip access-list svr-block deny udp src any sport any dest any dport eq 512
! login、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 513
! who、結構危険なので遮断
ip access-list svr-block deny udp src any sport any dest any dport eq 513
! shell、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 514
! syslog、syslogが攻撃されたら、logがめちゃくちゃになるので遮断
ip access-list svr-block deny udp src any sport any dest any dport eq 514
! printer、当たり前だが、外部にプリンタをオープンにする必要はないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 515
ip access-list svr-block deny udp src any sport any dest any dport eq 515
! talk、使ってないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 517
ip access-list svr-block deny udp src any sport any dest any dport eq 517
! ntalk、使ってないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 518
ip access-list svr-block deny udp src any sport any dest any dport eq 518
! router、ルーティングだが、外部にオープンする必要はないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 520
ip access-list svr-block deny udp src any sport any dest any dport eq 520
! uucp、使わない上、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 540
ip access-list svr-block deny udp src any sport any dest any dport eq 540
! listener、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 1025
ip access-list svr-block deny udp src any sport any dest any dport eq 1025
! openwin、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 2000
ip access-list svr-block deny udp src any sport any dest any dport eq 2000
! nfs、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 2049
ip access-list svr-block deny udp src any sport any dest any dport eq 2049
! listen、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 2766
ip access-list svr-block deny udp src any sport any dest any dport eq 2766
! x11、結構危険なので遮断(6000〜6063)
ip access-list svr-block deny tcp src any sport any dest any dport range 6000 6063
ip access-list svr-block deny udp src any sport any dest any dport range 6000 6063
! WinMx、使ってない無駄なP2Pソフトのポートは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 6257
ip access-list svr-block deny udp src any sport any dest any dport eq 6257
! IRCU、使ってなければ遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 6665
ip access-list svr-block deny udp src any sport any dest any dport eq 6665
ip access-list svr-block deny tcp src any sport any dest any dport eq 6666
ip access-list svr-block deny udp src any sport any dest any dport eq 6666
ip access-list svr-block deny tcp src any sport any dest any dport eq 6667
ip access-list svr-block deny udp src any sport any dest any dport eq 6667
ip access-list svr-block deny tcp src any sport any dest any dport eq 6668
ip access-list svr-block deny udp src any sport any dest any dport eq 6668
ip access-list svr-block deny tcp src any sport any dest any dport eq 6669
ip access-list svr-block deny udp src any sport any dest any dport eq 6669
! napster、使ってない無駄なP2Pソフトのポートは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 6699
ip access-list svr-block deny udp src any sport any dest any dport eq 6699
! Winny、使ってない無駄なP2Pソフトのポートは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 7743
ip access-list svr-block deny udp src any sport any dest any dport eq 7743
! Netbus、トロイの木馬のサービスポート危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 12345
ip access-list svr-block deny udp src any sport any dest any dport eq 12345
!
! プライベートアドレスを外部に送出しない(外部からの踏み台防止!)
!ip access-list r-list1 deny ip src 10.0.0.0/8 dest any
!ip access-list r-list1 deny ip src 172.16.0.0/12 dest any
!ip access-list r-list1 deny ip src 192.168.1.0/16 dest any
!
! とにかく全てのIPの通過を許可
ip access-list all-pass permit ip src any dest any
!
! telnet用
ip access-list telnet permit ip src 192.168.1.0/24 dest any
ip access-list telnet deny ip src any dest any
!
!
! ソースルーティング用リスト設定
ip access-list srcA permit ip src 192.168.1.x/24 dest any
ip access-list srcB permit ip src 192.168.1.xx/32 dest any
!
route-map srcroute permit 10
match ip address access-list srcA
set interface FastEthernet0/0.1
exit
!
route-map srcroute permit 20
match ip address access-list srcB
set interface FastEthernet0/0.2
exit
!
interface FastEthernet1/0.0
! ip address 192.168.1.1/24 これはもう上でやってるからいい
ip policy route-map srcroute
no shutdown
exit
!
!interface FastEthernet0/0.1
!ppp binding provider-a
!ip address ipcp
!ip napt enable
!no shutdown
!exit
!
!interface FastEthernet0/0.2
!ppp binding provider-b
!ip address ipcp
!ip napt enable
!no shutdown
!exit
!
!
!現在グローバルコンフィグモード
!
! ProxyDNS for IPv4 を有効
proxy-dns ip enable
! UFS(Unified Forwarding Service)キャッシュを有効にする
ip ufs-cache enable
!
!
!プロファイルモード
! pppプロファイルをplalaとして定義
ppp profile plala
! プロバイダから与えられた、ppp接続ユーザIDとパスワードを設定
authentication myname xxxx@xxxxx
authentication password xxxx@xxxxx xxxxxx
exit
!
! pppプロファイル2を2routeとして定義
ppp profile 2route
! プロバイダから与えられた、ppp接続ユーザIDとパスワードを設定
authentication myname xxxx@xxxxx
authentication password xxxx@xxxxx xxxxxx
exit
!
!
!インターフェースモード
!
!フィルタの適用
!
! I/F 0/0.1=WAN側のIPアドレスを定義
interface FastEthernet0/0.1
! IPフィルターを各設定
! 送信パケットはオール許可
ip filter all-pass 1 out
! プライベートアドレスを外部に送出しない(外部からの踏み台防止!)
ip filter r-list1 2 out
! 受信パケットはオール許可
ip filter all-pass 1 in
! 受信パケットは、svr-blockグループで指定したポートへのアクセスを破棄
ip filter svr-block 2 in
encapsulation pppoe
! PPPoEオートコネクト
auto-connect
ppp binding plala
ip address ipcp
! naptの設定(外部公開サーバの設定)
!
! pingサーバの設定
ip napt service ping 192.168.1.x
!
! SSHサーバの設定
ip napt service SSH 192.168.1.x none tcp 22
!
! WEBサーバの設定
ip napt service http 192.168.1.x
!
! FTPサーバーの設定
ip napt service ftp 192.168.1.x
!
! AVP2ポート27889,27890を開ける
ip napt static 192.168.1.x udp 27889
ip napt static 192.168.1.x udp 27890
!
! VNC用ポート二つ
ip napt static 192.168.1.x tcp 5900
ip napt static 192.168.1.x tcp 5901
!
! Nexuiz用ポート二つ
ip napt static 192.168.1.x udp 26889
ip napt static 192.168.1.x udp 26890
!
! NAPTを有効にする
ip napt enable
! 送受信TCPパケットのMSS値調整機能を有効にする。auto 設定の場合はインタフェース MTU 値から40オクテットを引いた値がMSS 値とな る
ip mtu 1454
ip tcp adjust-mss 1414
no shutdown
exi t
!
!
!IIJインターフェースモード
!
!フィルタの適用
!
! I/F 0/0.2=WAN側のIIJのIPアドレスを定義
interface FastEthernet0/0.2
! IPフィルターを各設定
! 送信パケットはオール許可
ip filter all-pass 1 out
! プライベートアドレスを外部に送出しない(外部からの踏み台防止!)
ip filter r-list1 2 out
! 受信パケットはオール許可
ip filter all-pass 1 in
! 受信パケットは、svr-blockグループで指定したポートへのアクセスを破棄
ip filter svr-block 2 in
encapsulation pppoe
! PPPoEオートコネクト
auto-connect
ppp binding 2route
ip address ipcp
! naptの設定(外部公開サーバの設定)
!
! NAPTを有効にする
ip napt enable
! 送受信TCPパケットのMSS値調整機能を有効にする。auto 設定の場合はインタフェース MTU 値から40オクテットを引いた値がMSS 値となる
ip mtu 1454
ip tcp adjust-mss 1414
no shutdown
exit
!
!
interface Loopback0.0
ip address 127.0.0.1/32
exit
write memory
exit
restart
y
だれか分かる人いませんか?
#comment
終了行:
[[加治/日誌]]
***アーキテクチャ [#l9a2e674]
-Fだった・・・
-伊藤さんに報告しないと・・・
**ルータの設定 [#r141848e]
ここ最近ほとんど寝ずにずっとルーターIX2015の設定をしていた・・・公式マニュアル、設定事例、コマンドリファレンス、ネットで調べまくって、ほとんどは理解できるようになったが、この設定だとWANには繋がるが、なぜかソースルーティングによる設定で、サーバーマシンの送信元IPならplala,他のマシンの送信元IPなら2routeで繋ぐ設定がどうにもできず、どちらも接続しているのに2route側で繋がるマシンが無い・・・どこが間違っているのかわからない・・・
***コマンド [#uf86cfe4]
erase startup-config
Yes
! グローバルコンフィグモード・イネーブル
enable-config
! アドミンユーザ&パスワードセッティング
!username xxxx password plain xxxx administrator
!
ntp ip enable
ntp server 210.173.160.27
ntp server 210.173.160.57
ntp server 210.173.160.87
ntp interval 3600
!
! IPルートデフォルトのI/Fは、0/0.1=WAN
ip route default FastEthernet0/0.1
!
telnet-server ip enable
telnet-server ip access-list telnet
http-server username admin
http-server ip enable
!
!
!DHCPの設定 for LAN
ip dhcp enable
!プロファイルモードへ
ip dhcp profile lan1
assignable-range 192.168.1.11 192.168.1.99
subnet-mask 255.255.255.0
default-gateway 192.168.1.1
dns-server 192.168.1.1
exit
!
!ここからインターフェースモード
!
!FE1/0.0へDHCPの設定を適用
interface FastEthernet1/0.0
ip address 192.168.1.1/24
ip dhcp binding lan1
no shutdown
exit
!
!グローバルへ戻る
!
! ロギングバッファの設定、イベントメッセージを指定サイズ分の文字数をメモリへ保存する
logging buffered 4096
! 指定のサブシステムメッセージを有効にする。ロギングレベルは"警告"
logging subsystem all warn
! タイムスタンプの設定、パラメータ(時刻)
logging timestamp timeofday
!
! アクセスリスト定義(フィルタリング)
!
!
! マルチプレクサTCPポートは通常使わないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 1
ip access-list svr-block deny udp src any sport any dest any dport eq 1
!
ip access-list svr-block deny tcp src any sport any dest any dport eq 7
ip access-list svr-block deny udp src any sport any dest any dport eq 7
! 自サーバのシステム情報を隠蔽するため遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 11
ip access-list svr-block deny udp src any sport any dest any dport eq 11
! 自サーバのシステム情報を隠蔽するため遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 15
ip access-list svr-block deny udp src any sport any dest any dport eq 15
! TELNETサービスは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 23
ip access-list svr-block deny udp src any sport any dest any dport eq 23
! bootpc、必要以上に情報を与えてしまうので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 67
ip access-list svr-block deny udp src any sport any dest any dport eq 67
ip access-list svr-block deny tcp src any sport any dest any dport eq 68
ip access-list svr-block deny udp src any sport any dest any dport eq 68
! tftp、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 69
ip access-list svr-block deny udp src any sport any dest any dport eq 69
! gopherサービスは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 70
ip access-list svr-block deny udp src any sport any dest any dport eq 70
! fingerサービスは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 79
ip access-list svr-block deny udp src any sport any dest any dport eq 79
! link、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 87
ip access-list svr-block deny udp src any sport any dest any dport eq 87
! supdup、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 95
ip access-list svr-block deny udp src any sport any dest any dport eq 95
! sunrpc、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 111
ip access-list svr-block deny udp src any sport any dest any dport eq 111
! DCE RPC、結構危険なので遮断(Blasterワームで狙われる為)
ip access-list svr-block deny tcp src any sport any dest any dport eq 135
ip access-list svr-block deny udp src any sport any dest any dport eq 135
! netbios、SAMBAを使ってるので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 137
ip access-list svr-block deny udp src any sport any dest any dport eq 137
ip access-list svr-block deny udp src any sport any dest any dport eq 138
ip access-list svr-block deny tcp src any sport any dest any dport eq 139
! uma、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 144
ip access-list svr-block deny udp src any sport any dest any dport eq 144
! snmp、ネットワーク監視サービスなので外部からは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 161
ip access-list svr-block deny udp src any sport any dest any dport eq 161
! snmp-trap、ネットワーク監視サービスなので外部からは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 162
ip access-list svr-block deny udp src any sport any dest any dport eq 162
! xdmcp、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 177
ip access-list svr-block deny udp src any sport any dest any dport eq 177
! imap3、imap3サービスを使っていないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 220
ip access-list svr-block deny udp src any sport any dest any dport eq 220
! マイクロソフト・ダイレクトホスティングSMBサービス遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 445
ip access-list svr-block deny udp src any sport any dest any dport eq 445
! exec、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 512
! bif、結構危険なので遮断
ip access-list svr-block deny udp src any sport any dest any dport eq 512
! login、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 513
! who、結構危険なので遮断
ip access-list svr-block deny udp src any sport any dest any dport eq 513
! shell、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 514
! syslog、syslogが攻撃されたら、logがめちゃくちゃになるので遮断
ip access-list svr-block deny udp src any sport any dest any dport eq 514
! printer、当たり前だが、外部にプリンタをオープンにする必要はないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 515
ip access-list svr-block deny udp src any sport any dest any dport eq 515
! talk、使ってないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 517
ip access-list svr-block deny udp src any sport any dest any dport eq 517
! ntalk、使ってないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 518
ip access-list svr-block deny udp src any sport any dest any dport eq 518
! router、ルーティングだが、外部にオープンする必要はないので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 520
ip access-list svr-block deny udp src any sport any dest any dport eq 520
! uucp、使わない上、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 540
ip access-list svr-block deny udp src any sport any dest any dport eq 540
! listener、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 1025
ip access-list svr-block deny udp src any sport any dest any dport eq 1025
! openwin、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 2000
ip access-list svr-block deny udp src any sport any dest any dport eq 2000
! nfs、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 2049
ip access-list svr-block deny udp src any sport any dest any dport eq 2049
! listen、結構危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 2766
ip access-list svr-block deny udp src any sport any dest any dport eq 2766
! x11、結構危険なので遮断(6000〜6063)
ip access-list svr-block deny tcp src any sport any dest any dport range 6000 6063
ip access-list svr-block deny udp src any sport any dest any dport range 6000 6063
! WinMx、使ってない無駄なP2Pソフトのポートは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 6257
ip access-list svr-block deny udp src any sport any dest any dport eq 6257
! IRCU、使ってなければ遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 6665
ip access-list svr-block deny udp src any sport any dest any dport eq 6665
ip access-list svr-block deny tcp src any sport any dest any dport eq 6666
ip access-list svr-block deny udp src any sport any dest any dport eq 6666
ip access-list svr-block deny tcp src any sport any dest any dport eq 6667
ip access-list svr-block deny udp src any sport any dest any dport eq 6667
ip access-list svr-block deny tcp src any sport any dest any dport eq 6668
ip access-list svr-block deny udp src any sport any dest any dport eq 6668
ip access-list svr-block deny tcp src any sport any dest any dport eq 6669
ip access-list svr-block deny udp src any sport any dest any dport eq 6669
! napster、使ってない無駄なP2Pソフトのポートは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 6699
ip access-list svr-block deny udp src any sport any dest any dport eq 6699
! Winny、使ってない無駄なP2Pソフトのポートは遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 7743
ip access-list svr-block deny udp src any sport any dest any dport eq 7743
! Netbus、トロイの木馬のサービスポート危険なので遮断
ip access-list svr-block deny tcp src any sport any dest any dport eq 12345
ip access-list svr-block deny udp src any sport any dest any dport eq 12345
!
! プライベートアドレスを外部に送出しない(外部からの踏み台防止!)
!ip access-list r-list1 deny ip src 10.0.0.0/8 dest any
!ip access-list r-list1 deny ip src 172.16.0.0/12 dest any
!ip access-list r-list1 deny ip src 192.168.1.0/16 dest any
!
! とにかく全てのIPの通過を許可
ip access-list all-pass permit ip src any dest any
!
! telnet用
ip access-list telnet permit ip src 192.168.1.0/24 dest any
ip access-list telnet deny ip src any dest any
!
!
! ソースルーティング用リスト設定
ip access-list srcA permit ip src 192.168.1.x/24 dest any
ip access-list srcB permit ip src 192.168.1.xx/32 dest any
!
route-map srcroute permit 10
match ip address access-list srcA
set interface FastEthernet0/0.1
exit
!
route-map srcroute permit 20
match ip address access-list srcB
set interface FastEthernet0/0.2
exit
!
interface FastEthernet1/0.0
! ip address 192.168.1.1/24 これはもう上でやってるからいい
ip policy route-map srcroute
no shutdown
exit
!
!interface FastEthernet0/0.1
!ppp binding provider-a
!ip address ipcp
!ip napt enable
!no shutdown
!exit
!
!interface FastEthernet0/0.2
!ppp binding provider-b
!ip address ipcp
!ip napt enable
!no shutdown
!exit
!
!
!現在グローバルコンフィグモード
!
! ProxyDNS for IPv4 を有効
proxy-dns ip enable
! UFS(Unified Forwarding Service)キャッシュを有効にする
ip ufs-cache enable
!
!
!プロファイルモード
! pppプロファイルをplalaとして定義
ppp profile plala
! プロバイダから与えられた、ppp接続ユーザIDとパスワードを設定
authentication myname xxxx@xxxxx
authentication password xxxx@xxxxx xxxxxx
exit
!
! pppプロファイル2を2routeとして定義
ppp profile 2route
! プロバイダから与えられた、ppp接続ユーザIDとパスワードを設定
authentication myname xxxx@xxxxx
authentication password xxxx@xxxxx xxxxxx
exit
!
!
!インターフェースモード
!
!フィルタの適用
!
! I/F 0/0.1=WAN側のIPアドレスを定義
interface FastEthernet0/0.1
! IPフィルターを各設定
! 送信パケットはオール許可
ip filter all-pass 1 out
! プライベートアドレスを外部に送出しない(外部からの踏み台防止!)
ip filter r-list1 2 out
! 受信パケットはオール許可
ip filter all-pass 1 in
! 受信パケットは、svr-blockグループで指定したポートへのアクセスを破棄
ip filter svr-block 2 in
encapsulation pppoe
! PPPoEオートコネクト
auto-connect
ppp binding plala
ip address ipcp
! naptの設定(外部公開サーバの設定)
!
! pingサーバの設定
ip napt service ping 192.168.1.x
!
! SSHサーバの設定
ip napt service SSH 192.168.1.x none tcp 22
!
! WEBサーバの設定
ip napt service http 192.168.1.x
!
! FTPサーバーの設定
ip napt service ftp 192.168.1.x
!
! AVP2ポート27889,27890を開ける
ip napt static 192.168.1.x udp 27889
ip napt static 192.168.1.x udp 27890
!
! VNC用ポート二つ
ip napt static 192.168.1.x tcp 5900
ip napt static 192.168.1.x tcp 5901
!
! Nexuiz用ポート二つ
ip napt static 192.168.1.x udp 26889
ip napt static 192.168.1.x udp 26890
!
! NAPTを有効にする
ip napt enable
! 送受信TCPパケットのMSS値調整機能を有効にする。auto 設定の場合はインタフェース MTU 値から40オクテットを引いた値がMSS 値とな る
ip mtu 1454
ip tcp adjust-mss 1414
no shutdown
exi t
!
!
!IIJインターフェースモード
!
!フィルタの適用
!
! I/F 0/0.2=WAN側のIIJのIPアドレスを定義
interface FastEthernet0/0.2
! IPフィルターを各設定
! 送信パケットはオール許可
ip filter all-pass 1 out
! プライベートアドレスを外部に送出しない(外部からの踏み台防止!)
ip filter r-list1 2 out
! 受信パケットはオール許可
ip filter all-pass 1 in
! 受信パケットは、svr-blockグループで指定したポートへのアクセスを破棄
ip filter svr-block 2 in
encapsulation pppoe
! PPPoEオートコネクト
auto-connect
ppp binding 2route
ip address ipcp
! naptの設定(外部公開サーバの設定)
!
! NAPTを有効にする
ip napt enable
! 送受信TCPパケットのMSS値調整機能を有効にする。auto 設定の場合はインタフェース MTU 値から40オクテットを引いた値がMSS 値となる
ip mtu 1454
ip tcp adjust-mss 1414
no shutdown
exit
!
!
interface Loopback0.0
ip address 127.0.0.1/32
exit
write memory
exit
restart
y
だれか分かる人いませんか?
#comment
ページ名: