パケットフィルタリングの最近のブログ記事

パケットフィルタリング設定例

くわぞう
(2006年4月22日 18:17) |

参考
■ポート445(ダイレクト・ホスティングSMBサービス)に注意
http://www.atmarkit.co.jp/fwin2k/win2ktips/088directhostedsmb/088directhostedsmb.html

■9-3.IPフィルタリング
http://www.cool-r32.com/myserver/9-3.html

■プライベートアドレスを遮断する 
1 in 10.0.0.0/8 * * * * Reject
2 in 172.16.0.0/12 * * * * Reject
3 in 192.168.0.0/16 * * * * Reject
4 in * 10.0.0.0/8 * * * Reject
5 in * 172.16.0.0/12 * * * Reject
6 in * 192.168.0.0/16 * * * Reject
■WindowsポートとSNMPポートを遮断する 
7 in * * * 135-139 * Reject
8 in * * * * 135-139 Reject
9 in * * * 445 * Reject
10 in * * * * 445 Reject
11 in * * * 161 * Reject
12 in * * * * 161 Reject
13 out * * * 135-139 * Reject
14 out * * * * 135-139 Reject
15 out * * * 445 * Reject
16 out * * * * 445 Reject
17 out * * * 161 * Reject
18 out * * * * 161 Reject

■DNS
問い合わせでは任意のポートからUDP53に要求する
ゾーン転送ではTCP53を使用する

■HTTP 
19 in * * TCP * www(80)&https(443) Pass
■FTP 
20 in * * * * 20-21(ftp,ftpdata) Reject
アクティブモード・・・TCP21で制御、TCP20でデータ転送 パッシブモード・・・TCP21で制御、1025以上のTCPポートでデータ転送 ■Telnet 
21 in * * * * telnet(23) Reject
■メール 
22 in * * TCP * smtp(25)&ident(113) Pass
23 in * * TCP-SYN * pop3(110) Reject
24 in * * TCP * pop3(110) Pass

IMAPはTCP143

■全ての外部開始セッションのTCPを全て遮断 
25 in * * TCP-SYN * * Reject

パケットフィルタリングポリシー

くわぞう
(2006年4月22日 18:14) |

1.外部からはルーターの設定をさせない

2.外部からは内部のクライアントにアクセスさせない

3.内部ネットワークのIPを詐称したアクセスを拒否
  (外部からのFromプライベートアドレスを拒否する)

4.特権ポート(1~1024)同士のパケットを通過させない

5.ブロードキャストアドレスへのパケットを通過させない

6.内部ネットワークからのクライアントからは外部に接続できる

7.Windowsネットワークやr系サービスのパケットを通過させない

NetBIOS名前サービス UDP 137
NetBIOS名前サービス TCP 137
NetBIOSデータグラム・サービス UDP 138
NetBIOSセッション・サービス TCP 139
ダイレクト・ホスティングSMBサービス TCP/UDP 445

8.Windowsファイル共有など、内部のみで使用するサービスは外部からアクセスできない

9.サーバーに対して、公開しているサービスのパケットのみを通過させる

« YAMAHA RTX1000 | メインページ | アーカイブ

このアーカイブについて

このページには、過去に書かれたブログ記事のうちパケットフィルタリングカテゴリに属しているものが含まれています。

前のカテゴリはYAMAHA RTX1000です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

パケットフィルタリング: 月別アーカイブ

Powered by Movable Type 4.1