R7800 OpenWrt(hnyman ビルド)のファイアーウォールの変更箇所

ゲートウェイルーターの置き換え計画の下、新しく入手した NetGear R7800 のファイアーウォール設定を、初期状態から変更した箇所を解説。

※原則として /etc/config/firewall を直接編集するのではなく、LuCI の GUI を通じて設定しており、以下に掲載する Traffic Rules は、その GUI 操作による結果が反映されたものである。

デフォルト設定

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

変更せず。

lan ゾーン

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

変更せず。

wan ゾーン

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

「option mtu_fix '1'」を削除。これは WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

フォワーディング設定

config forwarding
    option src 'lan'
    option dest 'wan'

ゾーン間のフォワーディング設定(👉 Forwardings)。

変更せず。

DHCP Renew 用のポート開放

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおける IP アドレスを DHCP で受け取れるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

ping の許可

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおけるプロバイダー側からの ping に応答できるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

IGMP の許可

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおけるプロバイダー側からの IGMP に対応できるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

DHCPv6 用のポート開放

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおける IP アドレスを DHCPv6 で受け取れるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

MLD の許可

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおけるプロバイダー側からの MLD に対応できるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

ICMPv6 (Input) の許可

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおけるプロバイダー側からの ICMPv6 に応答できるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

ICMPv6 (Forward) の許可

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおけるプロバイダー側からの ICMPv6 に応答できるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

IPSec ESP の許可

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

VPN には OpenVPN を使い、IPSec を使う予定はないので不要。

ISAKMP 用のポート開放

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

VPN には OpenVPN を使い、IPSec を使う予定はないので不要。

カスタムスクリプト

config include
    option path '/etc/firewall.user'

変更せず。

miniupnpd 用のカスタムスクリプト

config include 'miniupnpd'
    option type 'script'
    option path '/usr/share/miniupnpd/firewall.include'
    option family 'any'
    option reload '1'

変更せず。

Ingress filtering 用のカスタムスクリプト

config include 'bcp38'
    option type 'script'
    option path '/usr/lib/bcp38/run.sh'
    option family 'IPv4'
    option reload '1'

変更せず。


追加した設定

NEC 製のルーターにデフォルトで設定されているフィルタリングルールと同等の設定を追加し、ホームゲートウェイにこの R7800 を DMZ として接続するいわゆる Poor Man's Bridge Mode にすることによっても元よりもセキュリティレベルが低下することのないようにした。

config rule
    option dest_port '137-139'
    option src 'lan'
    option name 'Drop-NetBIOS'
    option dest 'wan'
    option target 'DROP'

config rule
    option dest_port '445'
    option src 'lan'
    option name 'Drop-DirectHostingOfSMB'
    option dest 'wan'
    option target 'DROP'

config rule
    option dest_port '2049'
    option src 'lan'
    option name 'Drop-NFS'
    option dest 'wan'
    option target 'ACCEPT'

config rule
    option dest_port '1243'
    option src '*'
    option name 'Drop-Trojan'
    option dest '*'
    option target 'DROP'
    list proto 'tcp'

config rule
    option dest_port '12345'
    option src '*'
    option name 'Drop-Trojan-NetBus'
    option dest '*'
    option target 'DROP'
    list proto 'tcp'

config rule
    option dest_port '27374'
    option src '*'
    option name 'Drop-Trojan-SubSeven'
    option dest '*'
    option target 'DROP'
    list proto 'tcp'

config rule
    option dest_port '31785'
    option src '*'
    option dest '*'
    option target 'DROP'
    list proto 'tcp'
    option name 'Drop-Trojan-HackaTack1of3'

config rule
    option dest_port '31789'
    option src '*'
    option name 'Drop-Trojan-HackaTack2of3'
    option dest '*'
    option target 'DROP'
    list proto 'udp'

config rule
    option dest_port '31791'
    option src '*'
    option name 'Drop-Trojan-HackaTack3of3'
    option dest '*'
    option target 'DROP'
    list proto 'udp'

また、R7800 の内側の LAN にある OpenVPN サーバー(192.168.1.254)のために、次の Port Forward 設定を追加している(参照:ゲートウェイルーターの置き換え)。

※これのみ、上までの Traffic Rules とは違い、Port Forwards で LuCI を操作して設定している。

config redirect
    option name 'OpenVPN (tun)'
    option src 'wan'
    option src_dport '61194'
    option target 'DNAT'
    option dest_ip '192.168.1.254'
    option dest 'lan'

config redirect
    option name 'OpenVPN (tap)'
    option src 'wan'
    option src_dport '61195'
    option target 'DNAT'
    option dest_ip '192.168.1.254'
    option dest 'lan'

上の Port Forward の設定に加えて下の OpenVPN 用の Traffic Rule も追加しているが、上のように Port Forward している場合は必要ない。Forward せずに、このルーター(R7800)自身で OpenVPN を処理する場合に必要となる設定である。

config rule
    option name 'Allow-OpenVPN-tup'
    option src 'wan'
    option target 'ACCEPT'
    option dest_port '1194'

config rule
    option name 'Allow-OpenVPN-tap'
    option src 'wan'
    option target 'ACCEPT'
    option dest_port '51194'

(以上)

コメント

このブログの人気の投稿

清水俊史『上座部仏教における聖典論の研究』

シークエンスパパとも 本物の霊能力

シークエンスパパともの先見の明