RTX ルータ　フィルタ設定

By 管理人

2008/05/30 金曜日

1 Mins read

234

0

今日もせこせこルータ設定、パケットの流れを

１．WANからIN,OUTで制御するもの
２．DMZでのIN.OUTで制御するもの
３．イントラ内のIN.OUTで制御するもの

で洗い出し、フィルターを一つずつ当てていく

そのためにはsyslogd（シスログデーモン）を使用したいがLinuxで環境作るのも面倒なので、昔の記憶をたどりWindows版でソフトを探す・・・・フリーでいくつかあるから一つチョイスしインスコ・・・・ポート514でまつ・・・・

まつ・・・

まっ！　・・・ルータからsyslogを指定ホストに流すコマンド忘れてた:wink:

スコッとconfigをいじり、save・・・・

おおおっlogが着始めた:razz:

現状の状態を観察するとおや？WANのIN,OUTとDMZのIN,OUTが逆さになってる？？
NATのタイミングが何処か想像だけして、logを信じてフィルターを一つ一つ当ててく・・・

当てては確認を繰り返し、匍匐前進・・・この作業は結構シンドイ（T T）

ある程度、当て終えて本日は作業を終了！

注意点としては最低限のフィルタを当てて、reject用のフィルタも一度passで設定しlog確認しながら設定すること！rejectからいきなり指定すると思わぬトラブルにはまる可能性もある！

234

0

Related posts

Linux Router Windows Server

DNS 再帰的な問い合わせ DDos攻撃について

By 管理人

2014/01/21 火曜日

1 Mins read

世の中の「DNS の再帰的な問い合わせを使った DDoS 攻撃」が相変わらず多いようです。

公開している外向きのDNSサーバーは再帰的な問合せをローカルIP以外からは使用できないよう設定する必要がありますが、昔のDNSサーバーは標準で外向きにも答えるようになっているものが多いみたいです。今回、色々な場所=GlobalIPから攻撃が飛んできているのもそのためであり、一定期間でアクセス元が変わってしまい捕まえるのが大変な状況になります。（また、被害者が加害者になってしまう構図も問題です）

以下はRTX1200でDDos攻撃を防ぐ目的で調査した際に判明したことを覚書しておきます。

DNSサーバーで有名なBIND(LINUX)はローカルIPからの問い合わせのみ再帰的な問合せに応答し、外部からの問い合わせには応答しない設定が出来ますので、DMZ内などに１台置くことでセキュリティ対策と保持Domainサーバーの２機能を賄うことが可能となっています。

一方、ActiveDirectryに対応する関係でWindows DNSサーバーを使用している会社さんも結構います。WindowsのDNSサーバーはローカルIPからの問い合わせと外部からの問い合わせに対する切り替え機能がないので、再帰的な問合せに対し応答するかしないかの２つしか設定できないので、社内に上位DNS情報のキャッシュサーバーを置きたい且つ、今まで通り保持Domainは社内のDNSサーバーを使いたいといった場合、セキュリティーの関係上、DMZに外用DNSサーバー、ローカルに内用DNSサーバーと２台立てることが必要となります。

プロバイダーが公開しているDNSを上位指定することでキャッシュサーバーを立てなくても解決できますが、多数のクライアントがある時、引っ越しなどの時は大変になりますね。（そこまで考えなくても良いかもしれませんが。。。）

雑学でした。。。

「DNS Attack」「DDoS攻撃」「DNS amp」に対応する！RTX1200

By 管理人

2014/01/16 木曜日

1 Mins read

ネットが以上に遅い。。。調査開始。。。

誰かがDNS QueryをうちのDNSへ投げまくって、RTX1200ルーターがCPU振り切ってる！！！
ちなみに「iri.so」「qww1.ru」のDomain名で大量に来てる

こちらにも

使用環境「RTX1200 Rev.10.01.53」

■NAT masqueradeのセッション数を制限する

nat descriptor masquerade session limit 1 1 2000

RTX1200は20000個までいけるが、1つのNATで2000個までに制御する

■Qos制御（Dynamic Class Control）

speed lan2 1000m queue lan2 type shaping 　 queue lan2 class property 1 bandwidth=900m,1000m queue lan2 class property 2 bandwidth=90m,1000m queue lan2 class property 4 bandwidth=200k queue lan2 class property 5 bandwidth=100k 　 queue lan2 class control 4 forwarding=5 watch=destination threshold=10%,20 time=86400 　　 queue class filter 1 4 ip (DMZ内のDNS IP) * udp domain * queue class filter 2 1 ip * * * * * 　　 pp select 1 queue pp class filter list 1 2 pp select none

注意１なぜか？VPN用のTunnelがあるのだがここを通るパケットが勝手にclass2へ流れてしまうようだ。。。「queue tunnel class filter list 2」と設定しclass1へ流れるように指定しclass2を消してもclass2が勝手に作られてそちらに流れてしまう。。。はて？取り急ぎ、class2も作成し、class4,class5で調整する。（RTX1200の不具合か？設定ミスなのか。。。）

注意２ Config修正した際に変更が正しく反映されず、再起動が必要となる場合があった（詳しく調べていないが、なんらかのClear処理が必要かもしれない）

注意３ Yamahaの「Dynamic Class Control」と「帯域制御」は少し違うので注意が必要

■帯域制限について

説教部屋を作成

・WANからpp=LAN2に対してDMZ内のDNS Serverに対する53port(domain)のアクセスを見張りclass4へ誘導する
（その他通信はClass1へ誘導）

・「watch=destination」の設定でDNS Serverに対する過重アクセス元となるGlobalIPをターゲットにする。

・class4、200kbpsの10%を20秒以上連続したアクセス（GlobalIP）に対して24時間(time86400)はclass5へ移動させる。（様子見としてrejectしていない）

うちの環境ではこれで撃退可能となりました。

確認コマンド
show status qos all

帯域制限のみで対応可能と思われるが、念のためNATセッション数も絞ってみた。
相変わらずガンガン来てるけど、スイスイのネットワークに戻りました☆

参考サイト１
 参考サイト２

Router パソコンのこと

yamaha VPN 接続先ネットワークアクセスできない RTX1200

By 管理人

2013/08/15 木曜日

1 Mins read

トンネル出来たし、相手先のルーターもばっちり見えてる！あとは他のマシンへアクセス？！
あれ。。。あれれ。。。

久しぶりにはまったので覚書！

L2TP/IPSec VPNでルーター間が接続できても、接続先ネットワークへ正しくルーティングさせるためには、下記のコマンドが必要！

ip lan1 proxyarp on

以下のコマンドはダメ！受信ルートがおかしくなったので削除

ip filter source-route on

こんなんに8時間ぐらいかかった・・・とほ