やっと設定できたので以下にサンプルの環境を示します。
192.168.0.240はデフォルトルートでNECのIX2015が動いてます
NTPサーバーもIX2015にやらせています。
pppoe
|
| fe0/0
IX2015
| fe0/1 192.168.0.240/24
|
| ethernet 48 192.168.0.241/24
Fastiron 4802-PRIM
| ethernet 1-47 192.168.1.240/24
|
client
とこのような感じにしてみました。
以下にサンプルのコンフィグを示します。
!
ver 07.8.00oT53
!
!
!
!
!
vlan 1 name DEFAULT-VLAN by port
!
vlan 2 name 2F-B2 by port
untagged ethe 1 to 47
ip-subnet 192.168.1.0 255.255.255.0 name 2F-B2
static ethe 1 to 47
router-interface ve 1
!
!
aaa authentication login default local enable
enable telnet authentication
enable super-user-password ...
ip dns domain-name fastiron4802.local
ip dns server-address 192.168.0.240
ip route 0.0.0.0 0.0.0.0 192.168.0.240
!
logging buffered 1000
username user password ...
clock timezone gmt GMT+09
sntp server 192.168.0.240 4
!
interface ethernet 1
load-interval 30
!
interface ethernet 48
load-interval 30
ip access-group 100 in
ip address 192.168.0.241 255.255.255.0
!
interface ve 1
ip address 192.168.1.240 255.255.255.0
!
ip telnet source-interface ve 1
!
access-list 100 permit tcp any 192.168.0.0 0.0.0.255
access-list 100 permit tcp any host 192.168.1.1 range 32768 61000
access-list 100 permit tcp any host 192.168.1.2 range 1024 5000
access-list 100 permit udp any 192.168.0.0 0.0.0.255
access-list 100 permit udp any 192.168.1.0 0.0.0.255
access-list 100 permit udp any 224.0.0.0 15.255.255.255
access-list 100 permit icmp any 192.168.0.0 0.0.0.255
access-list 100 permit icmp any 192.168.1.0 0.0.0.255
access-list 100 permit igmp any 224.0.0.0 15.255.255.255
access-list 100 deny ip any any log
!
!
!
ip ssh source-interface ethernet 48
!
!
end
access-list 100の2行と3行はLinuxとWindows XPのエフェメラルポート
です。エフェメラルポート意外は遮断しています。
Telnet接続は192.168.1.240/24側からしかつながらないようにしています。
ログイン時のユーザー名はusernameコマンドで指定します。
SSHはどちら側からも入れます。実際にSSHで運用するには
crypto key generate rsa として暗号鍵を生成する必要があります。
ciscoでいうreflexive ACL(再帰ACL)みたいなことはできないみたいでした。
ちょっと残念。これができるとポート開けっ放しと言うことがなくなるので
かなりDOSには強くなるかなとは思ったのですが・・・
配線をつなぎ変えたらclear mac-addressコマンドを忘れずに
そうしないとおかしな現象に遭遇したりします。
0 件のコメント:
コメントを投稿