R7800 OpenWrt(hnyman ビルド)のファイアーウォールの変更箇所

ゲートウェイルーターの置き換え計画の下、新しく入手した NetGear R7800 のファイアーウォール設定を、初期状態から変更した箇所を解説。

※原則として /etc/config/firewall を直接編集するのではなく、LuCI の GUI を通じて設定しており、以下に掲載する Traffic Rules は、その GUI 操作による結果が反映されたものである。

デフォルト設定

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

変更せず。

lan ゾーン

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

変更せず。

wan ゾーン

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

「option mtu_fix '1'」を削除。これは WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

フォワーディング設定

config forwarding
    option src 'lan'
    option dest 'wan'

ゾーン間のフォワーディング設定(👉 Forwardings)。

変更せず。

DHCP Renew 用のポート開放

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおける IP アドレスを DHCP で受け取れるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

ping の許可

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおけるプロバイダー側からの ping に応答できるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

IGMP の許可

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおけるプロバイダー側からの IGMP に対応できるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

DHCPv6 用のポート開放

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおける IP アドレスを DHCPv6 で受け取れるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

MLD の許可

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおけるプロバイダー側からの MLD に対応できるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

ICMPv6 (Input) の許可

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおけるプロバイダー側からの ICMPv6 に応答できるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

ICMPv6 (Forward) の許可

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおけるプロバイダー側からの ICMPv6 に応答できるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

IPSec ESP の許可

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

VPN には OpenVPN を使い、IPSec を使う予定はないので不要。

ISAKMP 用のポート開放

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

VPN には OpenVPN を使い、IPSec を使う予定はないので不要。

カスタムスクリプト

config include
    option path '/etc/firewall.user'

変更せず。

miniupnpd 用のカスタムスクリプト

config include 'miniupnpd'
    option type 'script'
    option path '/usr/share/miniupnpd/firewall.include'
    option family 'any'
    option reload '1'

変更せず。

Ingress filtering 用のカスタムスクリプト

config include 'bcp38'
    option type 'script'
    option path '/usr/lib/bcp38/run.sh'
    option family 'IPv4'
    option reload '1'

変更せず。

追加した設定

NEC 製のルーターにデフォルトで設定されているフィルタリングルールと同等の設定を追加し、ホームゲートウェイにこの R7800 を DMZ として接続するいわゆる Poor Man's Bridge Mode にすることによっても元よりもセキュリティレベルが低下することのないようにした。

config rule
    option dest_port '137-139'
    option src 'lan'
    option name 'Drop-NetBIOS'
    option dest 'wan'
    option target 'DROP'

config rule
    option dest_port '445'
    option src 'lan'
    option name 'Drop-DirectHostingOfSMB'
    option dest 'wan'
    option target 'DROP'

config rule
    option dest_port '2049'
    option src 'lan'
    option name 'Drop-NFS'
    option dest 'wan'
    option target 'ACCEPT'

config rule
    option dest_port '1243'
    option src '*'
    option name 'Drop-Trojan'
    option dest '*'
    option target 'DROP'
    list proto 'tcp'

config rule
    option dest_port '12345'
    option src '*'
    option name 'Drop-Trojan-NetBus'
    option dest '*'
    option target 'DROP'
    list proto 'tcp'

config rule
    option dest_port '27374'
    option src '*'
    option name 'Drop-Trojan-SubSeven'
    option dest '*'
    option target 'DROP'
    list proto 'tcp'

config rule
    option dest_port '31785'
    option src '*'
    option dest '*'
    option target 'DROP'
    list proto 'tcp'
    option name 'Drop-Trojan-HackaTack1of3'

config rule
    option dest_port '31789'
    option src '*'
    option name 'Drop-Trojan-HackaTack2of3'
    option dest '*'
    option target 'DROP'
    list proto 'udp'

config rule
    option dest_port '31791'
    option src '*'
    option name 'Drop-Trojan-HackaTack3of3'
    option dest '*'
    option target 'DROP'
    list proto 'udp'

また、R7800 の内側の LAN にある OpenVPN サーバー(192.168.1.254)のために、次の Port Forward 設定を追加している(参照:ゲートウェイルーターの置き換え)。

※これのみ、上までの Traffic Rules とは違い、Port Forwards で LuCI を操作して設定している。

config redirect
    option name 'OpenVPN (tun)'
    option src 'wan'
    option src_dport '61194'
    option target 'DNAT'
    option dest_ip '192.168.1.254'
    option dest 'lan'

config redirect
    option name 'OpenVPN (tap)'
    option src 'wan'
    option src_dport '61195'
    option target 'DNAT'
    option dest_ip '192.168.1.254'
    option dest 'lan'

上の Port Forward の設定に加えて下の OpenVPN 用の Traffic Rule も追加しているが、上のように Port Forward している場合は必要ない。Forward せずに、このルーター(R7800)自身で OpenVPN を処理する場合に必要となる設定である。

config rule
    option name 'Allow-OpenVPN-tup'
    option src 'wan'
    option target 'ACCEPT'
    option dest_port '1194'

config rule
    option name 'Allow-OpenVPN-tap'
    option src 'wan'
    option target 'ACCEPT'
    option dest_port '51194'

(以上)

コメント

コメントを投稿

このブログの人気の投稿

OpenWrt での Wi-Fi 設定

イメージ
OpenWrt をインストールしたら、まず最初に手を付ける作業が Wi-Fi(Network > Wireless で該当デバイスの設定を Edit)。初期状態では Wi-Fi が無効化されているため、Wi-Fi を有効化しておかないと、有線 LAN で直結していないノート PC(Macbook)から作業できない、というのが個人的には決定的な理由。 設定自体は特に難しくはなく、大まかには 2.4G 帯と 5G 帯それぞれについて、暗号化キーを決め、SSID や周波数チャンネル、出力強度をカスタムしたりする程度。最後に Enable して Save & Apply する流れとなる。 以下では、最初に、作業用の古いノート PC(Linux)から有線 LAN でルーターに接続して設定を行い、5G 帯をアクセスポイント・モードで有効化し、Wi-Fi 経由で MacBook が接続できるようにしてから、(Linux マシンと LAN ケーブルを片付けて)残りの作業を行っている。 5G 帯のアクセスポイント設定 WZR-HP-AG300H の場合では radio1 が 5G 帯(802.11an)となっているので、この Wireless 設定を Edit する。 Device 設定(Advanced Settings) 上半分の Device 設定についてはまず Advanced Settings タブの国設定で「JP - Japan」を選ぶ。 Interface 設定(基本設定) 下半分の Interface 設定については上のスクリーンショットのように Mode を「Access Point」、ESSID を適当に設定する(ここでは「OpenWrt」としている)。 Device 設定(基本設定) 国設定を選んだので、基本設定のタブに戻る(下のスクリーンショット)。 チャンネルは auto にすると、PC(受信端末)側のアクセス可能範囲外のチャンネルが選ばれてしまう場合があるので、確実に接続できるであろうチャンネルを手動で選んでおいた方が無難だろう。出力パワーは最強にしておいた。帯域幅はデフォルトの 20 MHz 幅のまま(40 MHz にすると倍化するが、その分、他の Wi-Fi との干渉もし易くなるため)。 ...
続きを読む

シークエンスパパとも 本物の霊能力

イメージ
Ms Sarah Welch / CC-BY-SA-3.0 シークエンスはやともを知ったきっかけ TV を見ない僕がシークエンスはやとも(YouTuber。吉本興業所属)の存在を知ったのは、今年の春(3 月か 4 月)の頃だったと思うが、YouTube でふと宜保愛子の動画を探していて、彼が宜保愛子を称賛するものを見つけて以来だったと思う。 それ以来いくつかの彼の動画をちょくちょく観るようになって、彼の霊能力が父親(シークエンスパパとも)譲りであり、パパともも息子のはやともに勧められて(癌闘病の傍ら)YouTuber として活躍していたのだが、残念ながら今年 1 月末に逝去していた、ということなどを知るようになった。 シークエンスパパともを知ったきっかけ はやとも流れでパパともの動画を観るきっかけになったのは、画面脇のお勧めに出ていた親子対談の動画を見たのが切っ掛けだった。 そこでのパパともの宮本武蔵に関するコメント(「晩年の宮本武蔵は一生懸命仏像を彫ったりしていたが、(若い頃)子供の道場主を殺したりしていたことによる怨霊は除霊できなかった」)に少しシビれた。息子のはやともが、まだ若いせいもあって、ちょっと話がマクロな(思想論や社会論的な)方向に行くと、厨二病的な傾向があるのには食傷気味な感じがあった。一方で、パパともの宗教・倫理観的な考えの方がその点、人間的な深さを感じるものがあったので、それがパパともに興味を引かれたきっかけだった。 パパともの霊能力に衝撃を受けた理由 そこで、初めて、パパとものチャンネルの動画もいくつか観たりしたのだが、「未解決事件を霊視する」という中々に攻めた企画を初期にやっていて興味深かったのだが、中に、上野の不忍池での事件(僕自身はこの 2006 年の事件については知らなかった)を扱ったものがあった: 「あっ!」と思ったのが、奇しくも前日(2023-06-28)、全く別のチャンネルの別の動画で、霊媒師が同じ事件を霊視するという企画のものを観ていたのだった: 千原せいじの YouTube チャンネルで、彼がコラボをしている飯島唯という通称・ギャル霊媒師の方が霊視をしている。 パパともの動画は 2021-05-12 と 2021-05-15 に公開されたものであるのに対し、ギ...
続きを読む

和歌山(?)の女性宮司の霊能力者を特定した

イメージ
昨夜、ニンゲンTVに登場した和歌山(?)の女性宮司の霊能力者の後編が公開された。滅茶苦茶気になったので、全力で我が特定力(?)を駆使したが、今ようやく特定できた。疲れた…… orz 前編を観た段階で、原田龍二が浮遊霊にいつの間にか憑かれていたことが発覚。『神島編』以来の肩の不調の原因だったようだが、だとしたら降魔師・阿部吉宏の立場は……。 まあ、数日前、僕は阿部さんは意外と「討ち漏らし」はあるんじゃないかという説を「 ニンゲンTVのヤバい心霊映像で気分が悪くなった……(その 2) 」という記事でも述べたりしていたので、霊能力者としては「感知能力が戦闘能力よりも劣る」タイプなのかなとは思っていた。 原田のヨイショと、天野ディレクターの良くも悪くも優秀な演出・編集によって、阿部さんが完全無敵の守護神(いわばオリヴァー・カーン)のように扱われているが、世には霊能者は他にも存在し、その中で阿部さんが完全無欠なのかというとそういうわけでないと思うし、本人も結構、そのあたりは謙虚な発言をしている。だが、ニンゲンTVの番組の演出上、これまで阿部さんを他の霊能者と比較するような場面がなく、ただ、非能力者である他のメンバーから唯一絶対的な能力者存在として扱われてしまっていただけだ。 阿部さん加入前に、ニンゲンTVがコラボをしていた凄腕霊能者の山口彩さんが好例だが、阿部さんが自身で謙虚に述べているように「 上には上がいる 」というのが本当のところだと思う。ただ、そういったプロ中のプロとして活躍中の霊能者の人たちだと、廃村・廃墟といった心霊スポット巡りの撮影に参加してくれるようなフィジカル的にもタフな人材は(阿部さんを除いて他に)見つけることは難しいように思われる。 原田の亡き祖母との再会の仕方に関する回答や、霊的な世界に関する見解など、この宮司は、(一霊四魂や言霊など)神道寄りながら、かなり良い指摘の仕方をする方だったと思う。神道なのに、最後は仏教的な輪廻転生観に基いて語っていたのも印象的だった。
続きを読む