R7800 OpenWrt(hnyman ビルド)のファイアーウォールの初期設定

  • OpenWrt は fw3 を使っている。
  • fw3 では iptable を直接いじるのではなく、設定ファイル(/etc/config/firewall 等)から一連の iptable を生成して、それを netfilter に渡す。netfilter に渡される iptable 自体はかなり複雑でユーザーが直接いじれるものではなくなっている。従って、fw3 に渡す設定ファイルの方を扱うことを考えればよく、UCI や LuCI で CUI/GUI を通じて操作するのも、設定ファイルの方である。

デフォルト設定

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

グローバルに適用されるデフォルト設定(👉 Defaults)。

通信のルーター自身への出入は許可し、通過は拒絶する。syn_flood プロテクションを on。

lan ゾーン

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

lan のゾーン設定(👉 Zones)。

lan 側インターフェース(lan)をこのゾーン(lan)に割り当て、全ての通信を許可。

wan ゾーン

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

wan のゾーン設定(👉 Zones)。

wan 側インターフェース(wan / wan6)をこのゾーン(lan)に割り当て、ルーター自体から出ていく通信のみを許可し、その通信をマスカレードする。さらに MSS サイズの最適化を行う。

フォワーディング設定

config forwarding
    option src 'lan'
    option dest 'wan'

ゾーン間のフォワーディング設定(👉 Forwardings)。

lan ゾーンから wan ゾーンへのフォワードを許可する。

DHCP Renew 用のポート開放

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

wan からの DHCP Renew を許可するフィルタリングルール(👉 Rules)。

ping の許可

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

wan からの ICMP echo request(ping)を許可するフィルタリングルール(👉 Rules)。

IGMP の許可

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

wan からの IGMP(Internet Group Management Protocol)を許可するフィルタリングルール(👉 Rules)。

DHCPv6 用のポート開放

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

wan からの DHCPv6 を許可するフィルタリングルール(👉 Rules)。

MLD の許可

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

wan 側リンクローカルアドレスからの MLD(Multicast Listener Discovery)を許可するフィルタリングルール(👉 Rules)。

ICMPv6 (Input) の許可

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

wan からの ICMPv6 (Input) を許可するフィルタリングルール(👉 Rules)。

ICMPv6 (Forward) の許可

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

wan からの ICMPv6 (Forward) を許可するフィルタリングルール(👉 Rules)。

IPSec ESP の許可

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

wan からの IPSec ESP(Encapsulated Security Payload)を許可するフィルタリングルール(👉 Rules)。

ISAKMP 用のポート開放

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

wan からの ISAKMP(Internet Security Association and Key Management Protocol; IPSec で使われる鍵交換用の規格)を許可するフィルタリングルール(👉 Rules)。

カスタムスクリプト

config include
    option path '/etc/firewall.user'

デフォルトでは空(👉 Includes)。

miniupnpd 用のカスタムスクリプト

config include 'miniupnpd'
    option type 'script'
    option path '/usr/share/miniupnpd/firewall.include'
    option family 'any'
    option reload '1'

UPnP IGD daemon に関するカスタムスクリプト(👉 Includes)らしい。

Ingress filtering 用のカスタムスクリプト

config include 'bcp38'
    option type 'script'
    option path '/usr/lib/bcp38/run.sh'
    option family 'IPv4'
    option reload '1'

IEFT BCP38(Ingress filtering)用のカスタムスクリプト(👉 Includes)らしい。

コメント

コメントを投稿

このブログの人気の投稿

ニンゲンTVの 3 人の女性準レギュラー加入の件についてのまとめ

イメージ
数回に分けて公開されたニンゲンTVの女性メンバー選出オーディションに関して、最初の動画が公開された直後に僕は降魔師・阿部吉宏の尋常ではない不機嫌そうな様子についての感想をしたためた(👉「 阿部さん怒ってる? ニンゲンTVが女性メンバーを加入させる件について 」2023-10-17)。 そこでは特に僕がそう思った理由は明記しなかったものの、阿部さんがシャーロック・ホームズのような〝女嫌い〟なのではないのかという感想を述べた。所詮は関係者でも何でもない、一視聴者である僕の勝手な想像であって、阿部さんが実際にどう考えているのかは本人(または関係者)のみぞ知るわけであり、真偽の確定のしようはないので、「結構〝女嫌い〟なのではないのか」という推理以外に、それ以上の理由を明記しなかったのである。 一連の騒動は一応一区切りついたので、今回改めてその辺りの推理の理由について明かすことにすると、 今も独身であること 亡き母親を非常に慕っており、自ら スーパーマザコンであると公言 してはばからないほどであること 「神の湯」の山の神(女神)の加護を受けていること 「みそか」や「みやこ」といった女霊の存在の影の濃さ(ただし道場では男の子の座敷童も育てている) 鬼子母神や荼吉尼天の加護も駆使する(みやこの防御のため) 亡き師匠(遠い親戚筋の人)も女性霊能力者であった 角由紀子に対してはそうでもなかったが、例えば 東ちずる (他には オーディション 2 次審査の滝行後の感想時 )など、女性ゲストに対しては相手によって目をあまり合わせようとせず固い態度を取ることがあるように見受けられること。男性ゲストに対してそのようなことがある印象はない。 2ch / 5ch のオカルト系エピソードでもよくあるのだが、お稲荷さん関係の女霊や山の神(女神)と関係が深まると、彼女らは非常に嫉妬深い面もあるので、加護によって人生が上手く行く反面、女性との恋愛運には恵まれなくなるというものがある。阿部さんの場合は、信仰する神は神道の建御名方(男神)であるようだが、色々と女性の神や霊の影響が色濃く感じる。そうなると、当然、現実の生身の人間の女性に対しては、色々と気難しい面が出てくるのも理解できるように思えるのである。 以上のような背景で、阿部さん本人の意識だけで...
続きを読む

Drupal を低スペック OpenWrt ルーターにインストール

イメージ
Buffalo WZR-HP-AG300H CPU: 680MHz; ROM: 32MB; RAM: 128MBa OpenWrt 19.07.3 HTTPd NGINX (with SSL) 1.17.7 PHP 7.2.31 (FPM) SQLite php7-mod-pdo-sqlite 3.31.1 Drupal 8.9.3 (最新は 9.0 だが、OpenWrt の最新の 19.07 では PHP 9.2 のため、要件にギリギリ届かない) USB フラッシュドライブ、NGINX + PHP (FPM) のセットアップ WordPress のインストール(👉 WordPress を低スペック OpenWrt ルーターにインストール )で行った作業に準ずるものとする。 SQLite のセットアップ 👉 core/INSTALL.sqlite.txt 単独の SQLite は不要。PHP の SQLite 関連モジュールだけで良い。 opkg update opkg install php7-mod-pdo-sqlite ファイルの置き場には、インストール過程でデフォルトとして示される ./sites/default/files/.ht.sqlite をそのまま使うものとする。留意しなければならないのは、デフォルトのパスを使うにせよ、フォルダーとファイル自身が書き込み可にパーミッションを変更しておかなければならない点である。このパーミッション変更を忘れていると、インストール自体が無事終ってから、最初にサイトの画面を表示する段階でデータベースエラーが発生する。 特に、インストーラーが自前で作成する .ht.sqlite までもがパーミッション変更が必要なことに気付くまで、当初はエラーの原因がわからずに悩む羽目になった。インストーラーが自分で作成できるのだから、こちらでパーミッションを変更せずとも、どうとでもなるんじゃないかと思うのだが、インストーラーと、インストール後の Drupal 本体では、セキュリティ的に権限が違っているからだろう。 PHP の調整 PHP 側の処理が重く時間がかかり過ぎると、NGINX が 504 Gateway Time-out にする場...
続きを読む

阿部吉宏の番組史上最強の心霊スポット探索事件「羽生蛇村」

イメージ
降魔師の阿部吉宏は、2023-08-04 に公開された下のインタビュー動画の時点において、「ニンゲンTV史上、最も強烈だった」のは、「羽生蛇村」の悪霊(妖狐)だと語っている: 「羽生蛇村」というのは、有名なホラーゲーム『Siren』の舞台であるが、現実に存在する埼玉県奥地の廃村「岳集落」がそのモデルなのだという。 ニンゲンTVの「羽生蛇村」は、やーかずという心霊系 YouTuber とのコラボ動画である。彼は心霊系 YouTuber としてはニンゲンTVに約 1 年先行し、彼のチャンネル(ダラシメン)は人気(チャンネル登録者数)の上でもニンゲンTVすら圧倒する人気を誇る生え抜きの YouTuber である。その彼は、既に「羽生蛇村」(=岳集落)を探索済だったが、その時から因縁の残るこの場所に再度行き、ニンゲンTVとのコラボによって、阿部吉宏たちニンゲンTVクルーの力を借りて、気になる因縁を解決したいという思いに駆られていたようだ。 2021-12-14 プロローグ 2021-12-17 本編(前編) 2021-12-17 本編(後編) 2021-12-22 後日談(1) 2022-01-14 番外編 2022-01-25 後日談(2) 2022-02-15 エピローグ 以下、上掲の一連の動画を視聴済という前提で話を進める。 プロローグの動画の段階から、羽生蛇村に向う車中、阿部が不審な様子を見せているのに気付くだろうか。原田龍二とやーかずが、やーかずの身の上話などをしている背後の後部座席で、阿部は落ち着きなさそうに左右に首を動かしている。彼はこの段階から、妖狐が所々に待ち受けているのを車外に目撃しており、2 度目の来訪となるやーかずを〝生贄の御馳走〟(=羽生蛇村の悪霊に魅入られた犠牲者)の訪れと捉えて、待ち受けているのだと語る。 本編において、ニンゲンTVクルーの側の視聴者視点で展開を観ていると、原田にせよ阿部にせよ、絵的には「過去最強」というほどのドラマチックな展開はない(阿部が御札などの対抗手段を周到に整えて彼らを霊的にガードしていたお陰でもあるだろう)。一応、原田や他のスタッフが「狐憑き」の状態になり、顔付きに異変が生じているとされるが、阿部によって速やかに祓われて事なきを得ており、話の流れ...
続きを読む