RT58iのFW設定

さすが天下のヤマハ、ファイアウォールの設定もすいすいだぜ!
……と思ったらいろいろはまりましたのでメモ。

  • interface pp をどうやって選ぶのかわからない
pp select 1

で1番を選択だって。
コマンドによっては pp 1 と明示的に指定できたりできなかったりしてもどかしい。

  • ip pp secure filterinout を一つずつしかかけない

ipfw 気分で以下のようにかけません。

ip pp secure filter in 100
ip pp secure filter in 110

この場合は110だけが有効。
まぁこの癖が事前にわかっていれば、設定変更の際にえいやっと流し込むだけなので正しい気はする。

  • ip pp secure filter name は一つしかかけない

そうなるといまいち存在意義がわからないなぁ。切り替え用とかか。
最初はサービスごとに ip filter set で名前をつけて、以下のようになんとか複数のルールを設定しているつもりでした。

ip filter set ssh in 100
ip filter set dns in 110 120
ip filter set http in 200 210 220
ip pp secure filter name ssh,dns,http

設定ができたので「そりゃ複数設定できるよなー」と思ったら全く FW が有効になっていない。
ルール設定するとどれにもマッチしないデフォルトは落とされるはずなのになーと思ったら、
ssh,dns,http」という名前が1つ設定されている状態
になってる模様。

確かに無効なルールは無視するとは書いてあったけどなぁ……。

  • in 方向の動的フィルタが通信を許可するのは out 方向になる

マニュアルにも記載されていましたがいまいちわかりませんでした。
読んだまま、入ってきたパケットをトリガとして出て行くパケットを動的に許可します。
つまり、静的に入ってくるパケットを許可していないと入ってくるパケット自体は捨てられます

ip filter 100 pass * 192.168.0.10 tcp * www
ip filter dynamic 200 * 192.168.0.10 filter 100
pp select 1
ip pp secure filter in 100 dynamic 200

これは本当にはまった。

  • unnumbered 接続はどうすればいいの

これは別にはまっていませんが、あまり記述を見かけなかったようなのでメモ。

pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname PPPoE-ID PPPoE-PASS
ppp lcp mru on 1454
ip pp mtu 1454
ip pp secure filter in 100 200 300 dynamic 100 200 300
ip pp secure filter out 400 500 600
pp enable 1
ip route default gateway pp 1

たぶん default route が I/F 名であれば unnumbered 接続。

  • dhcp scope bind の MAC ADDRESS は明示的に ethernet を記述しないといけない

マニュアルには以下のような記述があります。

dhcp scope bind scope-num ip-address [type] id
dhcp scope bind scope-num ip-address mac-address

これをみて、ああ MAC ADDRESS を直接かく2番目が直感的でわかりやすいなと思ったのですが、この記述が有効ではありません。

マニュアルにも確かに

type が省略された場合 …… 2桁十六進数の列で先頭は type フィールド

とあるので、ethernet を表す 01 を頭につけないといけません。

× dhcp scope bind 1 192.168.0.1 00:01:02:03:04:05
dhcp scope bind 1 192.168.0.1 ethernet 00:01:02:03:04:05
dhcp scope bind 1 192.168.0.1 01 00 01 02 03 04 05 (試してないので不明)

だったら mac address とか書くなよなぁ。

ISDN の電話周りの設定は一応したので、動作確認したら FOMA からメンテのために入れるように設定しなくちゃー。

technical

Posted by yokky