R7800 OpenWrt(hnyman ビルド)のファイアーウォールの変更箇所

ゲートウェイルーターの置き換え計画の下、新しく入手した NetGear R7800 のファイアーウォール設定を、初期状態から変更した箇所を解説。

※原則として /etc/config/firewall を直接編集するのではなく、LuCI の GUI を通じて設定しており、以下に掲載する Traffic Rules は、その GUI 操作による結果が反映されたものである。

デフォルト設定

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

変更せず。

lan ゾーン

config zone
    option name 'lan'
    list network 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

変更せず。

wan ゾーン

config zone
    option name 'wan'
    list network 'wan'
    list network 'wan6'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

「option mtu_fix '1'」を削除。これは WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

フォワーディング設定

config forwarding
    option src 'lan'
    option dest 'wan'

ゾーン間のフォワーディング設定(👉 Forwardings)。

変更せず。

DHCP Renew 用のポート開放

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおける IP アドレスを DHCP で受け取れるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

ping の許可

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおけるプロバイダー側からの ping に応答できるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

IGMP の許可

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおけるプロバイダー側からの IGMP に対応できるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

DHCPv6 用のポート開放

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fc00::/6'
    option dest_ip 'fc00::/6'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおける IP アドレスを DHCPv6 で受け取れるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

MLD の許可

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおけるプロバイダー側からの MLD に対応できるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

ICMPv6 (Input) の許可

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおけるプロバイダー側からの ICMPv6 に応答できるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

ICMPv6 (Forward) の許可

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

これも WAN 側がモデムを介したプロバイダー側ネットーワークに直結しているケースを前提とした設定のものと思われ(プロバイダー側のネットワークにおけるプロバイダー側からの ICMPv6 に応答できるようにする)、実家の LAN 環境での LAN 間に設置する GateKeeper として運用するこのルーターでは不要。

IPSec ESP の許可

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

VPN には OpenVPN を使い、IPSec を使う予定はないので不要。

ISAKMP 用のポート開放

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

VPN には OpenVPN を使い、IPSec を使う予定はないので不要。

カスタムスクリプト

config include
    option path '/etc/firewall.user'

変更せず。

miniupnpd 用のカスタムスクリプト

config include 'miniupnpd'
    option type 'script'
    option path '/usr/share/miniupnpd/firewall.include'
    option family 'any'
    option reload '1'

変更せず。

Ingress filtering 用のカスタムスクリプト

config include 'bcp38'
    option type 'script'
    option path '/usr/lib/bcp38/run.sh'
    option family 'IPv4'
    option reload '1'

変更せず。

追加した設定

NEC 製のルーターにデフォルトで設定されているフィルタリングルールと同等の設定を追加し、ホームゲートウェイにこの R7800 を DMZ として接続するいわゆる Poor Man's Bridge Mode にすることによっても元よりもセキュリティレベルが低下することのないようにした。

config rule
    option dest_port '137-139'
    option src 'lan'
    option name 'Drop-NetBIOS'
    option dest 'wan'
    option target 'DROP'

config rule
    option dest_port '445'
    option src 'lan'
    option name 'Drop-DirectHostingOfSMB'
    option dest 'wan'
    option target 'DROP'

config rule
    option dest_port '2049'
    option src 'lan'
    option name 'Drop-NFS'
    option dest 'wan'
    option target 'ACCEPT'

config rule
    option dest_port '1243'
    option src '*'
    option name 'Drop-Trojan'
    option dest '*'
    option target 'DROP'
    list proto 'tcp'

config rule
    option dest_port '12345'
    option src '*'
    option name 'Drop-Trojan-NetBus'
    option dest '*'
    option target 'DROP'
    list proto 'tcp'

config rule
    option dest_port '27374'
    option src '*'
    option name 'Drop-Trojan-SubSeven'
    option dest '*'
    option target 'DROP'
    list proto 'tcp'

config rule
    option dest_port '31785'
    option src '*'
    option dest '*'
    option target 'DROP'
    list proto 'tcp'
    option name 'Drop-Trojan-HackaTack1of3'

config rule
    option dest_port '31789'
    option src '*'
    option name 'Drop-Trojan-HackaTack2of3'
    option dest '*'
    option target 'DROP'
    list proto 'udp'

config rule
    option dest_port '31791'
    option src '*'
    option name 'Drop-Trojan-HackaTack3of3'
    option dest '*'
    option target 'DROP'
    list proto 'udp'

また、R7800 の内側の LAN にある OpenVPN サーバー(192.168.1.254)のために、次の Port Forward 設定を追加している(参照:ゲートウェイルーターの置き換え)。

※これのみ、上までの Traffic Rules とは違い、Port Forwards で LuCI を操作して設定している。

config redirect
    option name 'OpenVPN (tun)'
    option src 'wan'
    option src_dport '61194'
    option target 'DNAT'
    option dest_ip '192.168.1.254'
    option dest 'lan'

config redirect
    option name 'OpenVPN (tap)'
    option src 'wan'
    option src_dport '61195'
    option target 'DNAT'
    option dest_ip '192.168.1.254'
    option dest 'lan'

上の Port Forward の設定に加えて下の OpenVPN 用の Traffic Rule も追加しているが、上のように Port Forward している場合は必要ない。Forward せずに、このルーター(R7800)自身で OpenVPN を処理する場合に必要となる設定である。

config rule
    option name 'Allow-OpenVPN-tup'
    option src 'wan'
    option target 'ACCEPT'
    option dest_port '1194'

config rule
    option name 'Allow-OpenVPN-tap'
    option src 'wan'
    option target 'ACCEPT'
    option dest_port '51194'

(以上)

コメント

コメントを投稿

このブログの人気の投稿

清水俊史『上座部仏教における聖典論の研究』

清水俊史さんという仏教学者(佛教大学出身)が、東大教授(花園大学卒→東大編入 or 再入学?)の馬場紀寿氏と論争の末、アカハラ被害に遭い、さらには出版妨害に遭った(参考: 日本テーラワーダ仏教教会 事務局長 佐藤哲朗さんの YouTube 動画 )という、問題作であるこの本を読んだ。 佐藤さんが紹介している Amazon の書評リンク にもある通り、この清水さんの本は、馬場氏の(今の東大教授としての地位へとつながる博士論文を母体とした)デビュー作『上座部仏教の思想形成――ブッダからブッダゴーサへ』の内容を完全否定するものである。 主に、清水さんの本の 3 部構成のうちの第 1 部がそれ(馬場説の完全否定劇)に該当する。 総括 第 1 部では、ブッダゴーサやダンマパーラに帰せられる著作群を主な材料として、小部の成立を軸とした三蔵の形成過程を考察した。以上をまとめれば、仏滅後からブッダゴーサを経てダンマパーラに至るまでに、三蔵は次のような段階を経て成立したと推定される。 仏滅後に残された様々な教えは、仏弟子たちによって、その内容に応じて律蔵と『長部』『中部』『相応部』『増支部』という経蔵四部とに収められ、僧団内にいる長部誦者や持律師と呼ばれる専門家たちがこれを伝承していった。この律蔵・四部から漏れた様々な種類の経典(主に偈頌経典)は、他の四部に比してより在家的・通俗的な蔵外文献として伝承され、『ジャータカ』と『ダンマパダ』の例外を除いて専門の誦者や伝持者は僧団内に存在しなかった。 これら四部の外側に累積していった蔵外文献(主に偈頌経典)は、 後に経蔵の第五部「小部」として三蔵内に組み込まれるが、経蔵が五部に再編成された後も小部の構成は固定的ではなく流動的であった。そのため、小部のうちには、成立が早いとされる『スッタニパータ』『ダンマパダ』といった韻文経典のみならず、成立が遅いと考えられ る『義釈』『無礙解道』といった教理書も収められている。このような編纂事情ゆえに、上座部における小部の伝持形態は、「小部」というーまとまりのセットで伝持するという意識が希薄であり、各々の文献単位で別個に伝持されていった。 また、小部の成立だけでなく、阿毘達磨蔵七書と律蔵附随の成立も遅いことが考えられるが、これら小部・阿毘達磨蔵・律蔵附随の成立の具体的な先後関係は不明であ
続きを読む

OpenWrt での Wi-Fi 設定

イメージ
OpenWrt をインストールしたら、まず最初に手を付ける作業が Wi-Fi(Network > Wireless で該当デバイスの設定を Edit)。初期状態では Wi-Fi が無効化されているため、Wi-Fi を有効化しておかないと、有線 LAN で直結していないノート PC(Macbook)から作業できない、というのが個人的には決定的な理由。 設定自体は特に難しくはなく、大まかには 2.4G 帯と 5G 帯それぞれについて、暗号化キーを決め、SSID や周波数チャンネル、出力強度をカスタムしたりする程度。最後に Enable して Save & Apply する流れとなる。 以下では、最初に、作業用の古いノート PC(Linux)から有線 LAN でルーターに接続して設定を行い、5G 帯をアクセスポイント・モードで有効化し、Wi-Fi 経由で MacBook が接続できるようにしてから、(Linux マシンと LAN ケーブルを片付けて)残りの作業を行っている。 5G 帯のアクセスポイント設定 WZR-HP-AG300H の場合では radio1 が 5G 帯(802.11an)となっているので、この Wireless 設定を Edit する。 Device 設定(Advanced Settings) 上半分の Device 設定についてはまず Advanced Settings タブの国設定で「JP - Japan」を選ぶ。 Interface 設定(基本設定) 下半分の Interface 設定については上のスクリーンショットのように Mode を「Access Point」、ESSID を適当に設定する(ここでは「OpenWrt」としている)。 Device 設定(基本設定) 国設定を選んだので、基本設定のタブに戻る(下のスクリーンショット)。 チャンネルは auto にすると、PC(受信端末)側のアクセス可能範囲外のチャンネルが選ばれてしまう場合があるので、確実に接続できるであろうチャンネルを手動で選んでおいた方が無難だろう。出力パワーは最強にしておいた。帯域幅はデフォルトの 20 MHz 幅のまま(40 MHz にすると倍化するが、その分、他の Wi-Fi との干渉もし易くなるため)。
続きを読む

シークエンスパパともの先見の明

イメージ
先日、シンクロニシティ的に、故・シークエンスパパともが 2 年前に行った未解決事件に対する霊視が、ギャル霊媒師・飯塚唯が最近行った霊視と、互いに補完し合うような内容であるということを ブログ に 認 したた めたばかりである。 ところで、さらにもう一つの、パパともの霊能力に関する(僕にとって)シンクロニシティ的なタイミングで到来した情報が発生した。 シークエンスはやとものチャンネルの動画などを観るようになったのがきっかけで、YouTube のお勧めに、オカルト系のチャンネルが多数表示されるようになってきたのだが、その一つに「都市ボーイズ」という都市伝説を中心としたオカルト系チャンネルがあった。こういうものを観だしたらキリがないので、基本はスルーしていたのだが、その都市ボーイズ(放送作家の岸本誠と早瀬康広のコンビ)がチャンネルにはやともがゲストで出演して生霊鑑定を行っていたのを観たので、そこから芋蔓式に都市ボーイズのチャンネルの動画も何本か観たりするようになった。 都市ボーイズはやせの黒魔術 当初は、はやせ(早瀬康広)に「黒い呪いのようなものがまとわりついている」という、はやともの生霊鑑定の結果を深掘りすべく、関連する動画を追った。はやせは、呪物コレクターであり、その上、最近(約 10 ヶ月前に公開された動画)、「呪いを飼い馴らして、黒魔術的な力を自分のものにする」という修行というか通過儀礼を行っていたというのである。 儀式を無事に終えて台湾系の呪術師に合格が認められたはやせは、「数年以内に自動的に能力が開花し、自分で自覚するだろう」と言われたという。 都市ボーイズはやせを怒らせた霊能者 そのようなはやせを擁する都市ボーイズだが、先日、「【テレビの闇】インチキ霊能力者にテレビ出演邪魔されました!【インチキ霊能者】」という刺激的なタイトルの動画が、たまたま僕が暇だった時、公開されたばかりのタイミングで見つけてしまったので、早速その動画を観た。 約 1 年前、とある霊能者の霊的な〝脅迫〟によって、はやせはテレビ出演を直前で降板させられてしまったそうである。 僕は、テレビは観なくなって久しい人間で、それこそ霊能者というとシークエンスはやともの言う「心霊第 3 世代」の宜保愛子で止まっていて、江原啓之ですら雑誌の見出しで名前を
続きを読む