どるこむ仲間の掲示板! 過去ログ倉庫 LOG:2002/03:
●2002年03月インデックス ●過去ログ検索トップ ■どるこむ仲間の掲示板へ
[6163] ルータの動的IPマスカで安心する無かれ (7 レス)
2002/03/29(Fri) 21:07:11
Casper-01@159MM さん
Web: (none)
FWの設定って皆さんどうしてますか?
家の場合は
137-139;IN OUT
SNMP;IN
VNC;IN OUT
SMB;IN OUT
Finger;IN
Telnet;IN
DNS;IN
A/B/Cクラス ローカルIP;IN OUT

を切ってます、必要無い物も有りますが ^^;
要求外の外部からのパケットは、全てFWを通過させてるんで多分大丈夫とは思いますが、安心は出来ません。

#最近うちで頻発しているのはNetBIOS系です。

1. 田中 2002/03/29(Fri) 22:39:23
基本的に内側からの接続は許していて、
外部からはssh,ntp,dhcp,identとicmpを適当に設定しています。
udpの扱いがいまいち難しくてわかっていません。

2. buhi 2002/03/29(Fri) 23:09:30
firewallの方で...
137-139IN&OUTの他に
全てのアプリケーションを対象に

Code-red用で(TCP&UDP IN)
113.79.21.80.443.8080.143.110.25.23.2242.53.98-ANY IP-
ANY remote port

Trojan-trapで(TCP&UDP IN)
54320.54321.31337.12456.12345.12346.20034-ANY IP-
ANY remote port

SNMPも恐いので(今回の修正で解決した?)
161.162番(TCP&UDP IN)-ANY IP-ANY remote port
で、閉めてます。

後は(TCP&UDP IN+OUT)
ローカルport
5000-65535.1-79
も閉めて使ってます。

開けるのはアブリ毎でport設定してます。(1024-5000番を基本に)RealとWMPがちょっとイマイチですが、危険なプラウザで多少開けすぎなのが難点です。(remoteで1024-5000も開けてます。)
メーカーのルールを基本に作ってるのですが、これって閉めすぎ?

3. ぽん 2002/03/29(Fri) 23:10:10
ハードウェアルータ二段構え+FreeBSD(98)のIPFW+TCP_Wiperの3枚板です。基本設定は、許可するものだけ設定してそれ以外は拒否です。

4. デンドロビウム 2002/03/30(Sat) 00:07:52
ウチのルータ(BEFSR41)はWAN→LAN方向のパケットフィルタリングができないので、WAN→LANについてはIPマスカレード&リクエストブロック機能に任せています。LAN→WAN方向についてはポート135〜139、445、22と23をとりあえず閉めていますが後は通しですね。

5. 雷獣王GRIFFON 2002/03/30(Sat) 04:04:03
OPEN:ssh,ftp-data,ftp-ctrl,http,https,smtp,pop,icq(4000),IRC
で必要な物以外の侵入は全て deny でたたき落としてます.
上のポートもほぼ全て内側に置いてあるサーバーに向けて Port Redirect してます.
また,ICMP を any to any にしてますね.
でないとなぜか外から来た HTTP リクエストに対して返辞してなかったので・・・.
あとはちょこちょこっと小細工かな.
# 蛇足ながら SMTP は AmAViS で受信時にウイルスチェック,鯖内のデータは 1日 1回の定期見回り,1週間に 1度の全ディレクトリチェックやってます.
# SAV の最新パターン更新は自作の更新チェッカで更新されている場合は自動で最新版にするようにしてます.

6. Casper-01@RTS 2002/03/30(Sat) 20:56:21
激安のソフトウエアプロトコルアナライザ見つけました、BJDの作者さんが作ってます。
因みに今日最新版が出ました。


#家のサーバで取りこぼしが時々有りますが、(不審パケットと検出される事が有る)
#ICMPを弾いてます、これが原因かな?

7. チャム&レオ 2002/03/30(Sat) 21:14:23
ファイアウォールなんてなぃのでIngressフィルタとうるさいポート(謎)以外は全開です
後は手動IDSとか手動ウィルススキャナとか(意味不明)

ちゃんとFirewall-1とか置いてみたいな〜(ぉぃ)


▲ページの先頭へ