YAMAHAルータFWX120でPPTPを通すのに苦労した。ポリシーとかがよくわかってないからだ。NVR500 とかだったら静的なフィルタだけ設定すればよかったのだが、こいつにはポリシーフィルタの設定があって、入力遮断フィルタのあとにこの設定したポリシーが加わるのでポリシーの設定もしないといけないのだ。ポリシーを変更することは滅多に無い、というか、ありえないので適当に加えただけにした。なんせ極小研究室だからな。
LAN2 (WAN)の入力遮断フィルタの設定は;
だ。ぼかしてあるのは、ルータの外にある所属部門共通のファイルサーバのip address だ。SMB で動いているのでwindows のファイル共有のためのプロトコルを通さないといけない。他は遮断しないと、学内から管理者のサブネットが丸見えになっちゃうからな。このファイルサーバだけやりとりするようにした。private ip address なので別に隠す必要はないけど、管理者が管理しているアドレスではないので隠しておいた。
上の3つはMicrosoftのサービスのポート番号135についてだ。1)送信元がなんであれ特定のip address (この場合はファイルサーバ)のポート135宛は通す、2)と3)はポート135のパケットは通さない、ということで、上にある方が優先するので、135ポートについては1)だけになる。
次の4〜6行目の設定はポート135のパケット同様で、ポート137〜139についての制御だ。ポート137〜139についてはこれもMicrosoftのサービスでNetBIOS NetBIOS Name Service、NetBIOS NetBIOS Datagram Service 、NetBIOS NetBIOS Session Serviceのことだ。YAMAHAはNETBIOS_NS-NETBIOS_SSNと表現しているだけだ。このポート番号が宛先のTCP/UDPプロトコルも特定のip address 以外は全部遮断だ
次の7〜9行目はポート番号445についての制御だ。これは445/TCP Microsoft-DS Active Directory, Windows shares 、445/UDP Microsoft-DS SMB file sharingでWindowsのファイル共有プロトコルだ。445については、7)宛先が445ポートはルータ外に通さない、8)特定のip address (この場合はファイルサーバ)側から445ポートの宛先はルータ内に通す、9)445ポートの宛先はルータ内に通さないという設定で、8)が上にあるので9)に優先されることになる。
これで特定のip address(この場合部署のファイルサーバ)以外はWindowsのファイル共有ができなくなる。ルータ外からルータ内(サブネット)のパソコンを覗くことができなくなる。
ファイルサーバを使ってルータ内の共有フォルダを探すのはこれでできないだろうと思うけどいいのかな。
PPTP(Microsoft Point-to-Point Tunneling Protocol )についてが10、11行目である。TCPのポート番号1723 を通す(ルータ内から外へ)必要がある。逆は設定しなくていい。GRE はプロトコル番号47だがTCP/UDPではないのでポート番号はない。両方向に通せばいい。
ポリシーフィルタだが、デフォルトにGREが通るように加えるだけでいいようだ。1723ポートについては加える必要がないようだ。
LAN2 LAN1 * * GRE の行をデフォルトで加えただけで通る。めんどうだなぁ。
でもしょうがない。管理者のサブネット内はMacもWinもファイルの共有が全く自由にしてあるので、秘密ファイルを外部から覗かれてしまう訳にはいかない。サブネット内は自由にしておかないと色々面倒だからな。便利とセキュリティは相反するからな。
なんでPPTP が必要?それは文献を得るのに現在パートタイムで働いている職場の図書館にリモートでアクセスするからだ。
PPTPで接続が確立していることはパソコンでも表示されるのだが、確認のためには確認くんというサイトが便利だ。どっからアクセスしているかip address とサーバ名がわかるからな。
Windows で「たまねぎ」を使ったとき本当にトレース不可能であることを確認するのにも使える。そんな不埒なことはしたことがないけどね。