#contents();
*** セキュリティポリシー [#o6216462]
- LAN ⇒ ルーター/外部 は制限なし (但し Microsoft Netbios は遮断)
- 外部 ⇒ ルーターを許可するのは
|パケット|ポート|サービス|備考|h
|TCP| 20-21| FTP|マスカレード対象(IP 指定)|
|TCP| 25|SMTP||
|UDP| 53|DNS||
|TCP| 80|HTTP||
|TCP| 110|POP3|マスカレード対象(IP 指定)|
|UDP| 123|NTP/SNTP||
|TCP| 389|LDAP|マスカレード対象(IP 指定)|
|TCP| 443|HTTPS|マスカレード対象(IP 指定)|
|TCP| 465|SSL smtp|マスカレード対象(IP 指定)|
|TCP| 587|AOL submission||
|TCP| 993|SMTP SSL||
|TCP| 995|IMAP||
|TCP|5190-5192|AOL authorization||
|TCP| 8822|SSH custom||
|TCP| 8081|Landeboot custom||
*** Net Genesis の Firewall 設定 (asof 2006-12-15) [#v25c9a65]
- Net Genesis 設定ファイル [2006-12-15] ⇒ &ref(config_20061214.bin);
- &ref(fw_20061215.JPG);
*** 検証項目 [#c656ea07]
|試験項目|20061214|20061215|h
|内部 → 内部 http(80)/ https(443) へのアクセス|CENTER:○|CENTER:○|
|内部 → 外部の http (80=http/53=DNS)へのアクセス|CENTER:○|CENTER:○|
|内部 → 外部の https (993=https/53=DNS)へのアクセス|CENTER:○|CENTER:○|
|内部 MTA → 外部 MTA への送信 (SMTP)|CENTER:○|CENTER:○|
|内部 MTA → 外部 MTA への送信 (SMTP/SSL)|CENTER:|CENTER:○|
|内部 MTA → 外部 MTA への送信 (SMTP/TLS)|CENTER:○|CENTER:○|
|外部 MUA → 内部 MTA への送受信 (SMTP)|CENTER:○|CENTER:○|
|外部 MUA → 内部 MTA への送受信 (SMTP/TLS)|CENTER:○|CENTER:○|
|外部 MUA → 内部 MTA への送受信 (SMTP/SSL)|CENTER:○|CENTER:○|
|外部 MUA → 内部 MDA への送受信 (IMAPS)|CENTER:○|CENTER:○|
|外部 MTA → 内部 MTA への受信 (SSL)|CENTER:|CENTER:|
|外部 MTA → 内部 MTA への受信 (TLS)|CENTER:|CENTER:|
|外部 MUA → 内部 MTA への送受信 (IMAPS/TLS)|CENTER:○|CENTER:○|
|内部 → AOLサーバーへのアクセス(587=submission)|CENTER:COLOR(RED):×|CENTER:○|
|内部サーバー → 外部 ntp サーバーへのアクセス|CENTER:|CENTER:○|
|外部 → 内部サーバーへの SSH|CENTER:COLOR(RED):×|CENTER:○|
|外部 → labdeboot への 8081 ポートアクセス|CENTER:○|CENTER:○|
|外部 → 内部サーバー ftp アクセス|CENTER:COLOR(RED):×|CENTER:|
|外部 → 内部 LDAP サーバーへのアクセス||CENTER:|
- AOLのメール送信には従来より「サブミッションポート(587番)」を使用しているため、他ISPが「25番ポートブロック」に対応しても、影響ありません。
*** 自宅に向け外部からポートスキャンを実行 (2006-12-14 15:54) [#a0f1ff25]
- &color(red){一見良いが 空ける設定をしたポートの一部 (8081とか 587 とか)が空いていないのが気になる};
[root@tweak ~]# nmap spirit.hmuna.com
Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2006-12-14 15:54 JST
Interesting ports on 229.152.138.210.bn.2iij.net (210.138.152.229):
(The 1664 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
80/tcp open http
110/tcp open pop3
113/tcp open auth
443/tcp open https
465/tcp open smtps
782/tcp open hp-managed-node
993/tcp open imaps
8081/tcp open blackice-icecap
Nmap finished: 1 IP address (1 host up) scanned in 56.000 seconds
- 2006-12-15 Nmap Winで再実行
Starting Nmap 4.20 ( http://insecure.org ) at 2006-12-15 16:09 東京 (標準時)
Warning: OS detection for 210.138.152.229 will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Insufficient responses for TCP sequencing (3), OS detection may be less accurate
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Insufficient responses for TCP sequencing (2), OS detection may be less accurate
Interesting ports on 229.152.138.210.bn.2iij.net (210.138.152.229):
Not shown: 1688 filtered ports
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
80/tcp open http
110/tcp open pop3
113/tcp open auth
443/tcp open https
465/tcp open smtps
993/tcp open imaps
8081/tcp open blackice-icecap
No OS matches for host
Uptime: 1.589 days (since Thu Dec 14 02:04:11 2006)
OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 102.142 seconds
*** 自宅に向け外部からポートスキャンを実行 (2006-12-14 17:47) [#a0f1ff25]
- &color(red){何故だ、時間がたつと穴が開いているポートが増える (当然設定は変わっていないのに)};
[root@tweak ~]# nmap spirit.hmuna.com
Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2006-12-14 17:47 JST
Interesting ports on 229.152.138.210.bn.2iij.net (210.138.152.229):
(The 1470 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
11/tcp open systat
12/tcp open unknown
21/tcp open ftp
25/tcp open smtp
30/tcp open unknown
31/tcp open msg-auth
37/tcp open time
48/tcp open auditd
55/tcp open isi-gl
63/tcp open via-ftp
67/tcp open dhcps
77/tcp open priv-rje
80/tcp open http
99/tcp open metagram
102/tcp open iso-tsap
105/tcp open csnet-ns
107/tcp open rtelnet
110/tcp open pop3
111/tcp open rpcbind
113/tcp open auth
116/tcp open ansanotify
120/tcp open cfdptkt
121/tcp open erpc
134/tcp open ingres-net
157/tcp open knet-cmp
162/tcp open snmptrap
166/tcp open s-net
170/tcp open print-srv
174/tcp open mailq
175/tcp open vmnet
185/tcp open remote-kis
191/tcp open prospero
198/tcp open dls-mon
201/tcp open at-rtmp
212/tcp open anet
227/tcp open unknown
231/tcp open unknown
232/tcp open unknown
241/tcp open unknown
242/tcp open direct
261/tcp open nsiiops
269/tcp open unknown
274/tcp open unknown
296/tcp open unknown
301/tcp open unknown
321/tcp open pip
341/tcp open unknown
343/tcp open unknown
353/tcp open ndsauth
388/tcp open unidata-ldm
394/tcp open embl-ndt
410/tcp open decladebug
414/tcp open infoseek
423/tcp open opc-job-start
426/tcp open smartsdp
429/tcp open ocs_amu
433/tcp open nnsp
441/tcp open decvms-sysmgt
443/tcp open https
446/tcp open ddm-rdb
447/tcp open ddm-dfm
461/tcp open datasurfsrv
465/tcp open smtps
473/tcp open hybrid-pop
476/tcp open tn-tl-fd1
495/tcp open intecourier
504/tcp open citadel
523/tcp open ibm-db2
532/tcp open netnews
542/tcp open commerce
565/tcp open whoami
588/tcp open cal
599/tcp open acp
600/tcp open ipcserver
601/tcp open unknown
610/tcp open npmp-local
618/tcp open unknown
623/tcp open unknown
631/tcp open ipp
645/tcp open unknown
646/tcp open unknown
663/tcp open unknown
665/tcp open unknown
669/tcp open unknown
727/tcp open unknown
728/tcp open unknown
733/tcp open unknown
734/tcp open unknown
743/tcp open unknown
748/tcp open ris-cm
752/tcp open qrh
758/tcp open nlogin
773/tcp open submit
789/tcp open unknown
805/tcp open unknown
809/tcp open unknown
822/tcp open unknown
827/tcp open unknown
835/tcp open unknown
842/tcp open unknown
847/tcp open unknown
852/tcp open unknown
853/tcp open unknown
859/tcp open unknown
864/tcp open unknown
865/tcp open unknown
866/tcp open unknown
877/tcp open unknown
895/tcp open unknown
905/tcp open unknown
910/tcp open unknown
920/tcp open unknown
921/tcp open unknown
927/tcp open unknown
940/tcp open unknown
942/tcp open unknown
965/tcp open unknown
969/tcp open unknown
972/tcp open unknown
980/tcp open unknown
993/tcp open imaps
999/tcp open garcon
1001/tcp open unknown
1002/tcp open windows-icfw
1005/tcp open unknown
1008/tcp open ufsd
1009/tcp open unknown
1023/tcp open netvenuechat
1025/tcp open NFS-or-IIS
1030/tcp open iad1
1067/tcp open instl_boots
1068/tcp open instl_bootc
1103/tcp open xaudio
1112/tcp open msql
1351/tcp open equationbuilder
1355/tcp open intuitive-edge
1361/tcp open linx
1362/tcp open timeflies
1363/tcp open ndm-requester
1375/tcp open bytex
1380/tcp open telesis-licman
1386/tcp open checksum
1407/tcp open dbsa-lm
1417/tcp open timbuktu-srv1
1422/tcp open autodesk-lm
1428/tcp open informatik-lm
1429/tcp open nms
1433/tcp open ms-sql-s
1443/tcp open ies-lm
1446/tcp open ora-lm
1453/tcp open genie-lm
1455/tcp open esl-lm
1466/tcp open oceansoft-lm
1476/tcp open clvm-cfg
1498/tcp open watcom-sql
1503/tcp open imtc-mcs
1537/tcp open sdsc-lm
1545/tcp open vistium-share
1546/tcp open abbaccuray
1551/tcp open hecmtl-db
1661/tcp open netview-aix-1
1664/tcp open netview-aix-4
1669/tcp open netview-aix-9
1984/tcp open bigbrother
2003/tcp open cfingerd
2011/tcp open raid-cc
2013/tcp open raid-am
2022/tcp open down
2043/tcp open isis-bcast
2045/tcp open cdfunc
2046/tcp open sdfunc
2108/tcp open rkinit
2500/tcp open rtsserv
2602/tcp open ripd
2998/tcp open iss-realsec
3128/tcp open squid-http
3268/tcp open globalcatLDAP
3455/tcp open prsvp
3999/tcp open remoteanything
4343/tcp open unicall
4987/tcp open maybeveritas
4998/tcp open maybeveritas
5100/tcp open admd
5190/tcp open aol
5192/tcp open aol-2
5305/tcp open hacl-test
5490/tcp open connect-proxy
5680/tcp open canna
5713/tcp open proshareaudio
6111/tcp open spc
6142/tcp open aspentec-lm
6543/tcp open mythtv
6969/tcp open acmsoda
7005/tcp open afs3-volser
8009/tcp open ajp13
8081/tcp open blackice-icecap
8443/tcp open https-alt
8892/tcp open seosload
9100/tcp open jetdirect
13714/tcp open VeritasNetbackup
32778/tcp open sometimes-rpc19
38037/tcp open landesk-cba
44334/tcp open tinyfw
61441/tcp open netprowler-sensor
Nmap finished: 1 IP address (1 host up) scanned in 82.304 seconds
*** 外部から自宅に向け ポートスキャン [2007-2-9] [#o2fb99c9]
- tweak.hsdv.com から
- ftp PASV 対応で 1024-1052 を空けたが、空いていないようだ....
[root@tweak ~]# nmap -P0 -sT spirit.hmuna.com
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2007-02-09 11:57 JST
Interesting ports on 229.152.138.210.bn.2iij.net (210.138.152.229):
(The 1565 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
5/tcp open rje
12/tcp open unknown
21/tcp open ftp
25/tcp open smtp
29/tcp open msg-icp
78/tcp open vettcp
80/tcp open http
92/tcp open npp
105/tcp open csnet-ns
110/tcp open pop3
113/tcp open auth
114/tcp open audionews
158/tcp open pcmail-srv
188/tcp open mumps
200/tcp open src
205/tcp open at-5
208/tcp open at-8
254/tcp open unknown
268/tcp open unknown
305/tcp open unknown
315/tcp open dpsi
320/tcp open unknown
357/tcp open bhevent
366/tcp open odmr
376/tcp open nip
377/tcp open tnETOS
389/tcp closed ldap
396/tcp open netware-ip
443/tcp open https
457/tcp open scohelp
465/tcp open smtps
493/tcp open ticf-2
516/tcp open videotex
522/tcp open ulp
571/tcp open umeter
591/tcp open http-alt
601/tcp open unknown
630/tcp open unknown
635/tcp open unknown
644/tcp open unknown
668/tcp open unknown
678/tcp open unknown
683/tcp open unknown
703/tcp open unknown
723/tcp open omfs
732/tcp open unknown
769/tcp open vid
771/tcp open rtip
821/tcp open unknown
822/tcp open unknown
833/tcp open unknown
834/tcp open unknown
841/tcp open unknown
846/tcp open unknown
858/tcp open unknown
867/tcp open unknown
897/tcp open unknown
910/tcp open unknown
937/tcp open unknown
975/tcp open securenetpro-sensor
988/tcp open unknown
993/tcp open imaps
999/tcp open garcon
1008/tcp open ufsd
1068/tcp open instl_bootc
1399/tcp open cadkey-licman
1400/tcp open cadkey-tablet
1441/tcp open cadis-1
1453/tcp open genie-lm
1457/tcp open valisys-lm
1501/tcp open sas-3
1650/tcp open nkd
1763/tcp open landesk-rc
1900/tcp open UPnP
1986/tcp open licensedaemon
1993/tcp open snmp-tcp-port
2002/tcp open globe
2003/tcp open cfingerd
2108/tcp open rkinit
2500/tcp open rtsserv
3372/tcp open msdtc
4008/tcp open netcheque
5236/tcp open padl2sim
5308/tcp open cfengine
5631/tcp open pcanywheredata
5800/tcp open vnc-http
5998/tcp open ncd-diag
6346/tcp open gnutella
6401/tcp open crystalenterprise
8000/tcp open http-alt
8081/tcp open blackice-icecap
12000/tcp open cce4x
15126/tcp open swgps
26208/tcp open wnn6_DS
32786/tcp open sometimes-rpc25
Nmap run completed -- 1 IP address (1 host up) scanned in 154.557 seconds
*** pppoe マルチセッション対応 (フレッツスクエア対応) [2007-1-8] [#ee3c6c27]
- フレッツドットネット 申し込みをオンラインで行う必要があり、フレッツスクエアへのアクセスに対応した
- Super OPT シリーズは pppoe マルチセッションに対応しているので、NTT、マイクロ総合研究所 の情報を参考に設定を行った
-- [[NTTの設定情報 (スタティックルート情報 など):http://flets.com/square/con_index.html]]
--- 認証方式 PPPoE
--- お客さま名(半角英字) guest@flets
--- パスワード(半角英字) guest
--- IPアドレス 自動取得
--- DNSサーバアドレス 自動取得(※)
--- フレッツ・スクウェア専用URL http://www.flets/
--- スタティックルート情報
|アドレス|サブネットマスク|備考|h
|220.210.194.0|255.255.255.128|フレッツ・スクウェア|
|220.210.195.0|255.255.255.192||
|220.210.195.64|255.255.255.192||
|220.210.197.0|255.255.255.128|GyaO on FLET'S|
|220.210.199.0|255.255.255.224|Disney BB on フレッツ|
|220.210.199.176|255.255.255.240|ゴルファーズBB on フレッツ|
|220.210.199.32|255.255.255.224|goo Music Store on FLET'S|
|~|~|東映特撮アニメアーカイブス on フレッツ|
|~|~|アニメで感じte|
|~|~|バンダイチャンネル|
|~|~|タカラヅカ On Demand|
|~|~|韓流ドラマシアター ブロコリ on フレッツ|
|~|~|BGV on FLET'S|
|~|~|gooブロードバンドナビ アニメ特集|
|~|~|BROBA on FLET'S|
|~|~|東映特撮BB on フレッツ|
|~|~|CSTV名作劇場|
|220.210.199.200|255.255.255.248||
|220.210.199.64|255.255.255.240|コンテンツダウンロードサイト|
|220.210.203.0|255.255.255.224|フレッツインデックス|
|220.210.199.208|255.255.255.248|LIFE&MONEY|
|220.210.198.0|255.255.255.192|ひかり電話対応機器ファームアップ用|
-- [[マイクロ総合研究所 (ルータ設定):http://www.mrl.co.jp/support/nwginfo/guide/pppoe/multi_session.htm]]
-- [[マイクロ総合研究所 (解析方法):http://www.mrl.co.jp/support/nwginfo/guide/pppoe/check_syslog2.htm]]
- マイクロ総研の設定情報に従って pppoe マルチセッションの対応ができた
- &color(red){この設定は Super OPT が DHCP サーバー、Primary DNS になる必要があり、spirit.hmuna.com で named、dhcpd を動作させる事ができなくなった};
- &color(red){Linux 評価ボードのネットワークブート用に DHCPD を Linux サーバーで動作させる必要があり、本件対策が必要};
-- Net Genesis 設定ファイル [2007-1-8] ⇒ &ref(config_20070108.bin);
- マイクロ総研のサポートに確認した [2007-1-9]
-- DNS、Default_Gateway がルータを指していればDHCP サーバーを外に立てることは出来る
-- ということはルータ外に DNS は立てることができない (内向きにDNSを立てることは出来ない)
-- Super OPT-G は IPv6 のパケットは通さない (ので手前にスイッチHUB を付ければ問題ない)
![[PukiWiki]](image/taikyoku.gif "[PukiWiki]")
