Router_Port の編集

#contents();
*** セキュリティポリシー [#o6216462]

- LAN 　 　⇒ ルーター／外部 は制限なし (但し Microsoft Netbios は遮断)

- 外部 ⇒ ルーターを許可するのは
|パケット|ポート|サービス|備考|h
|TCP|  20-21| FTP|マスカレード対象（IP 指定）|
|TCP|  25|SMTP||
|UDP|  53|DNS||
|TCP|  80|HTTP||
|TCP| 110|POP3|マスカレード対象（IP 指定）|
|UDP| 123|NTP/SNTP||
|TCP| 389|LDAP|マスカレード対象（IP 指定）|
|TCP| 443|HTTPS|マスカレード対象（IP 指定）|
|TCP| 465|SSL smtp|マスカレード対象（IP 指定）|
|TCP| 587|AOL submission||
|TCP| 993|SMTP SSL||
|TCP| 995|IMAP||
|TCP|5190-5192|AOL authorization||
|TCP| 8822|SSH custom||
|TCP| 8081|Landeboot custom||

*** Net Genesis の Firewall 設定 （asof 2006-12-15） [#v25c9a65]
- Net Genesis 設定ファイル [2006-12-15] ⇒ &ref(config_20061214.bin);
- &ref(fw_20061215.JPG);

*** 検証項目 [#c656ea07]
|試験項目|20061214|20061215|h
|内部 → 内部 http(80)/ https(443) へのアクセス|CENTER:○|CENTER:○|
|内部 → 外部の http （80=http/53=DNS）へのアクセス|CENTER:○|CENTER:○|
|内部 → 外部の https （993=https/53=DNS）へのアクセス|CENTER:○|CENTER:○|
|内部 MTA → 外部 MTA への送信 （SMTP）|CENTER:○|CENTER:○|
|内部 MTA → 外部 MTA への送信 （SMTP/SSL）|CENTER:|CENTER:○|
|内部 MTA → 外部 MTA への送信 （SMTP/TLS）|CENTER:○|CENTER:○|
|外部 MUA → 内部 MTA への送受信 （SMTP)|CENTER:○|CENTER:○|
|外部 MUA → 内部 MTA への送受信 （SMTP/TLS)|CENTER:○|CENTER:○|
|外部 MUA → 内部 MTA への送受信 （SMTP/SSL)|CENTER:○|CENTER:○|
|外部 MUA → 内部 MDA への送受信 （IMAPS)|CENTER:○|CENTER:○|
|外部 MTA → 内部 MTA への受信 （SSL)|CENTER:|CENTER:|
|外部 MTA → 内部 MTA への受信 （TLS)|CENTER:|CENTER:|
|外部 MUA → 内部 MTA への送受信 （IMAPS/TLS)|CENTER:○|CENTER:○|
|内部 →　AOLサーバーへのアクセス（587=submission）|CENTER:COLOR(RED):×|CENTER:○|
|内部サーバー →　外部 ntp サーバーへのアクセス|CENTER:|CENTER:○|
|外部 → 内部サーバーへの SSH|CENTER:COLOR(RED):×|CENTER:○|
|外部 → labdeboot への 8081 ポートアクセス|CENTER:○|CENTER:○|
|外部 → 内部サーバー ftp アクセス|CENTER:COLOR(RED):×|CENTER:|
|外部 → 内部 LDAP サーバーへのアクセス||CENTER:|

- AOLのメール送信には従来より「サブミッションポート(587番)」を使用しているため、他ISPが「25番ポートブロック」に対応しても、影響ありません。  
*** 自宅に向け外部からポートスキャンを実行 （2006-12-14　15:54） [#a0f1ff25]
- &color(red){一見良いが 空ける設定をしたポートの一部 （8081とか 587 とか）が空いていないのが気になる};

[root@tweak ~]# nmap spirit.hmuna.com
 
 Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2006-12-14 15:54 JST
 Interesting ports on 229.152.138.210.bn.2iij.net (210.138.152.229):
 (The 1664 ports scanned but not shown below are in state: filtered)
 
  PORT    STATE SERVICE
  21/tcp   open  ftp
  25/tcp   open  smtp
  80/tcp   open  http
 110/tcp  open  pop3
 113/tcp  open  auth
 443/tcp  open  https
 465/tcp  open  smtps
 782/tcp  open  hp-managed-node
 993/tcp  open  imaps
 8081/tcp open  blackice-icecap
 
 Nmap finished: 1 IP address (1 host up) scanned in 56.000 seconds

- 2006-12-15 Nmap Winで再実行

Starting Nmap 4.20 ( http://insecure.org ) at 2006-12-15 16:09 東京 (標準時)
 Warning:  OS detection for 210.138.152.229 will be MUCH less reliable because we did not find at least 1 open and 1  closed TCP port
 Insufficient responses for TCP sequencing (3), OS detection may be less accurate
 Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
 Insufficient responses for TCP sequencing (2), OS detection may be less accurate
 Interesting ports on 229.152.138.210.bn.2iij.net (210.138.152.229):
 Not shown: 1688 filtered ports
 
 PORT     STATE SERVICE
 21/tcp   open  ftp
 25/tcp   open  smtp
 80/tcp   open  http
 110/tcp  open  pop3
 113/tcp  open  auth
 443/tcp  open  https
 465/tcp  open  smtps
 993/tcp  open  imaps
 8081/tcp open  blackice-icecap
 No OS matches for host
 Uptime: 1.589 days (since Thu Dec 14 02:04:11 2006)
 OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
 Nmap finished: 1 IP address (1 host up) scanned in 102.142 seconds

*** 自宅に向け外部からポートスキャンを実行 （2006-12-14　17:47） [#a0f1ff25]
- &color(red){何故だ、時間がたつと穴が開いているポートが増える （当然設定は変わっていないのに）};

[root@tweak ~]# nmap spirit.hmuna.com
 
 Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2006-12-14 17:47 JST
 Interesting ports on 229.152.138.210.bn.2iij.net (210.138.152.229):
 (The 1470 ports scanned but not shown below are in state: filtered)
 
 PORT      STATE SERVICE
  11/tcp    open  systat
  12/tcp    open  unknown
  21/tcp    open  ftp
  25/tcp    open  smtp
  30/tcp    open  unknown
  31/tcp    open  msg-auth
  37/tcp    open  time
  48/tcp    open  auditd
  55/tcp    open  isi-gl
  63/tcp    open  via-ftp
  67/tcp    open  dhcps
  77/tcp    open  priv-rje
  80/tcp    open  http
  99/tcp    open  metagram
 102/tcp   open  iso-tsap
 105/tcp   open  csnet-ns
 107/tcp   open  rtelnet
 110/tcp   open  pop3
 111/tcp   open  rpcbind
 113/tcp   open  auth
 116/tcp   open  ansanotify
 120/tcp   open  cfdptkt
 121/tcp   open  erpc
 134/tcp   open  ingres-net
 157/tcp   open  knet-cmp
 162/tcp   open  snmptrap
 166/tcp   open  s-net
 170/tcp   open  print-srv
 174/tcp   open  mailq
 175/tcp   open  vmnet
 185/tcp   open  remote-kis
 191/tcp   open  prospero
 198/tcp   open  dls-mon
 201/tcp   open  at-rtmp
 212/tcp   open  anet
 227/tcp   open  unknown
 231/tcp   open  unknown
 232/tcp   open  unknown
 241/tcp   open  unknown
 242/tcp   open  direct
 261/tcp   open  nsiiops
 269/tcp   open  unknown
 274/tcp   open  unknown
 296/tcp   open  unknown
 301/tcp   open  unknown
 321/tcp   open  pip
 341/tcp   open  unknown
 343/tcp   open  unknown
 353/tcp   open  ndsauth
 388/tcp   open  unidata-ldm
 394/tcp   open  embl-ndt
 410/tcp   open  decladebug
 414/tcp   open  infoseek
 423/tcp   open  opc-job-start
 426/tcp   open  smartsdp
 429/tcp   open  ocs_amu
 433/tcp   open  nnsp
 441/tcp   open  decvms-sysmgt
 443/tcp   open  https
 446/tcp   open  ddm-rdb
 447/tcp   open  ddm-dfm
 461/tcp   open  datasurfsrv
 465/tcp   open  smtps
 473/tcp   open  hybrid-pop
 476/tcp   open  tn-tl-fd1
 495/tcp   open  intecourier
 504/tcp   open  citadel
 523/tcp   open  ibm-db2
 532/tcp   open  netnews
 542/tcp   open  commerce
 565/tcp   open  whoami
 588/tcp   open  cal
 599/tcp   open  acp
 600/tcp   open  ipcserver
 601/tcp   open  unknown
 610/tcp   open  npmp-local
 618/tcp   open  unknown
 623/tcp   open  unknown
 631/tcp   open  ipp
 645/tcp   open  unknown
 646/tcp   open  unknown
 663/tcp   open  unknown
 665/tcp   open  unknown
 669/tcp   open  unknown
 727/tcp   open  unknown
 728/tcp   open  unknown
 733/tcp   open  unknown
 734/tcp   open  unknown
 743/tcp   open  unknown
 748/tcp   open  ris-cm
 752/tcp   open  qrh
 758/tcp   open  nlogin
 773/tcp   open  submit
 789/tcp   open  unknown
 805/tcp   open  unknown
 809/tcp   open  unknown
 822/tcp   open  unknown
 827/tcp   open  unknown
 835/tcp   open  unknown
 842/tcp   open  unknown
 847/tcp   open  unknown
 852/tcp   open  unknown
 853/tcp   open  unknown
 859/tcp   open  unknown
 864/tcp   open  unknown
 865/tcp   open  unknown
 866/tcp   open  unknown
 877/tcp   open  unknown
 895/tcp   open  unknown
 905/tcp   open  unknown
 910/tcp   open  unknown
 920/tcp   open  unknown
 921/tcp   open  unknown
 927/tcp   open  unknown
 940/tcp   open  unknown
 942/tcp   open  unknown
 965/tcp   open  unknown
 969/tcp   open  unknown
 972/tcp   open  unknown
 980/tcp   open  unknown
 993/tcp   open  imaps
 999/tcp   open  garcon
 1001/tcp  open  unknown
 1002/tcp  open  windows-icfw
 1005/tcp  open  unknown
 1008/tcp  open  ufsd
 1009/tcp  open  unknown
 1023/tcp  open  netvenuechat
 1025/tcp  open  NFS-or-IIS
 1030/tcp  open  iad1
 1067/tcp  open  instl_boots
 1068/tcp  open  instl_bootc
 1103/tcp  open  xaudio
 1112/tcp  open  msql
 1351/tcp  open  equationbuilder
 1355/tcp  open  intuitive-edge
 1361/tcp  open  linx
 1362/tcp  open  timeflies
 1363/tcp  open  ndm-requester
 1375/tcp  open  bytex
 1380/tcp  open  telesis-licman
 1386/tcp  open  checksum
 1407/tcp  open  dbsa-lm
 1417/tcp  open  timbuktu-srv1
 1422/tcp  open  autodesk-lm
 1428/tcp  open  informatik-lm
 1429/tcp  open  nms
 1433/tcp  open  ms-sql-s
 1443/tcp  open  ies-lm
 1446/tcp  open  ora-lm
 1453/tcp  open  genie-lm
 1455/tcp  open  esl-lm
 1466/tcp  open  oceansoft-lm
 1476/tcp  open  clvm-cfg
 1498/tcp  open  watcom-sql
 1503/tcp  open  imtc-mcs
 1537/tcp  open  sdsc-lm
 1545/tcp  open  vistium-share
 1546/tcp  open  abbaccuray
 1551/tcp  open  hecmtl-db
 1661/tcp  open  netview-aix-1
 1664/tcp  open  netview-aix-4
 1669/tcp  open  netview-aix-9
 1984/tcp  open  bigbrother
 2003/tcp  open  cfingerd
 2011/tcp  open  raid-cc
 2013/tcp  open  raid-am
 2022/tcp  open  down
 2043/tcp  open  isis-bcast
 2045/tcp  open  cdfunc
 2046/tcp  open  sdfunc
 2108/tcp  open  rkinit
 2500/tcp  open  rtsserv
 2602/tcp  open  ripd
 2998/tcp  open  iss-realsec
 3128/tcp  open  squid-http
 3268/tcp  open  globalcatLDAP
 3455/tcp  open  prsvp
 3999/tcp  open  remoteanything
 4343/tcp  open  unicall
 4987/tcp  open  maybeveritas
 4998/tcp  open  maybeveritas
 5100/tcp  open  admd
 5190/tcp  open  aol
 5192/tcp  open  aol-2
 5305/tcp  open  hacl-test
 5490/tcp  open  connect-proxy
 5680/tcp  open  canna
 5713/tcp  open  proshareaudio
 6111/tcp  open  spc
 6142/tcp  open  aspentec-lm
 6543/tcp  open  mythtv
 6969/tcp  open  acmsoda
 7005/tcp  open  afs3-volser
 8009/tcp  open  ajp13
 8081/tcp  open  blackice-icecap
 8443/tcp  open  https-alt
 8892/tcp  open  seosload
 9100/tcp  open  jetdirect
 13714/tcp open  VeritasNetbackup
 32778/tcp open  sometimes-rpc19
 38037/tcp open  landesk-cba
 44334/tcp open  tinyfw
 61441/tcp open  netprowler-sensor 
 
 Nmap finished: 1 IP address (1 host up) scanned in 82.304 seconds
*** 外部から自宅に向け ポートスキャン ［2007-2-9］ [#o2fb99c9]
- tweak.hsdv.com から
- ftp PASV 対応で 1024-1052 を空けたが、空いていないようだ....

[root@tweak ~]# nmap -P0 -sT spirit.hmuna.com
 
 Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2007-02-09 11:57 JST
 Interesting ports on 229.152.138.210.bn.2iij.net (210.138.152.229):
 (The 1565 ports scanned but not shown below are in state: filtered)
 
 PORT      STATE  SERVICE
 5/tcp     open   rje
 12/tcp    open   unknown
 21/tcp    open   ftp
 25/tcp    open   smtp
 29/tcp    open   msg-icp
 78/tcp    open   vettcp
 80/tcp    open   http
 92/tcp    open   npp
 105/tcp   open   csnet-ns
 110/tcp   open   pop3
 113/tcp   open   auth
 114/tcp   open   audionews
 158/tcp   open   pcmail-srv
 188/tcp   open   mumps
 200/tcp   open   src
 205/tcp   open   at-5
 208/tcp   open   at-8
 254/tcp   open   unknown
 268/tcp   open   unknown
 305/tcp   open   unknown
 315/tcp   open   dpsi
 320/tcp   open   unknown
 357/tcp   open   bhevent
 366/tcp   open   odmr
 376/tcp   open   nip
 377/tcp   open   tnETOS
 389/tcp   closed ldap
 396/tcp   open   netware-ip
 443/tcp   open   https
 457/tcp   open   scohelp
 465/tcp   open   smtps
 493/tcp   open   ticf-2
 516/tcp   open   videotex
 522/tcp   open   ulp
 571/tcp   open   umeter
 591/tcp   open   http-alt
 601/tcp   open   unknown
 630/tcp   open   unknown
 635/tcp   open   unknown
 644/tcp   open   unknown
 668/tcp   open   unknown
 678/tcp   open   unknown
 683/tcp   open   unknown
 703/tcp   open   unknown
 723/tcp   open   omfs
 732/tcp   open   unknown
 769/tcp   open   vid
 771/tcp   open   rtip
 821/tcp   open   unknown
 822/tcp   open   unknown
 833/tcp   open   unknown
 834/tcp   open   unknown
 841/tcp   open   unknown
 846/tcp   open   unknown
 858/tcp   open   unknown
 867/tcp   open   unknown
 897/tcp   open   unknown
 910/tcp   open   unknown
 937/tcp   open   unknown
 975/tcp   open   securenetpro-sensor
 988/tcp   open   unknown
 993/tcp   open   imaps
 999/tcp   open   garcon
 1008/tcp  open   ufsd
 1068/tcp  open   instl_bootc
 1399/tcp  open   cadkey-licman
 1400/tcp  open   cadkey-tablet
 1441/tcp  open   cadis-1
 1453/tcp  open   genie-lm
 1457/tcp  open   valisys-lm
 1501/tcp  open   sas-3
 1650/tcp  open   nkd
 1763/tcp  open   landesk-rc
 1900/tcp  open   UPnP
 1986/tcp  open   licensedaemon
 1993/tcp  open   snmp-tcp-port
 2002/tcp  open   globe
 2003/tcp  open   cfingerd
 2108/tcp  open   rkinit
 2500/tcp  open   rtsserv
 3372/tcp  open   msdtc
 4008/tcp  open   netcheque
 5236/tcp  open   padl2sim
 5308/tcp  open   cfengine
 5631/tcp  open   pcanywheredata
 5800/tcp  open   vnc-http
 5998/tcp  open   ncd-diag
 6346/tcp  open   gnutella
 6401/tcp  open   crystalenterprise
 8000/tcp  open   http-alt
 8081/tcp  open   blackice-icecap
 12000/tcp open   cce4x
 15126/tcp open   swgps
 26208/tcp open   wnn6_DS
 32786/tcp open   sometimes-rpc25 
 
 Nmap run completed -- 1 IP address (1 host up) scanned in 154.557 seconds

*** pppoe マルチセッション対応 （フレッツスクエア対応） [2007-1-8] [#ee3c6c27]
- フレッツドットネット 申し込みをオンラインで行う必要があり、フレッツスクエアへのアクセスに対応した
- Super OPT シリーズは pppoe マルチセッションに対応しているので、NTT、マイクロ総合研究所 の情報を参考に設定を行った
-- [[ＮＴＴの設定情報 (スタティックルート情報 など):http://flets.com/square/con_index.html]]
--- 認証方式 PPPoE 
--- お客さま名(半角英字) guest@flets 
--- パスワード(半角英字) guest 
--- IPアドレス 自動取得 
--- DNSサーバアドレス 自動取得(※) 
--- フレッツ・スクウェア専用URL http://www.flets/ 
--- スタティックルート情報

|アドレス|サブネットマスク|備考|h
|220.210.194.0|255.255.255.128|フレッツ・スクウェア|
|220.210.195.0|255.255.255.192||
|220.210.195.64|255.255.255.192||
|220.210.197.0|255.255.255.128|GyaO on FLET'S|
|220.210.199.0|255.255.255.224|Disney BB on フレッツ|
|220.210.199.176|255.255.255.240|ゴルファーズBB on フレッツ|
|220.210.199.32|255.255.255.224|goo Music Store on FLET'S|
|~|~|東映特撮アニメアーカイブス on フレッツ|
|~|~|アニメで感じｔｅ|
|~|~|バンダイチャンネル|
|~|~|タカラヅカ On Demand|
|~|~|韓流ドラマシアター　ブロコリ on フレッツ|
|~|~|BGV on FLET'S|
|~|~|gooブロードバンドナビ アニメ特集|
|~|~|BROBA on FLET'S|
|~|~|東映特撮BB on フレッツ|
|~|~|CSTV名作劇場|
|220.210.199.200|255.255.255.248||
|220.210.199.64|255.255.255.240|コンテンツダウンロードサイト|
|220.210.203.0|255.255.255.224|フレッツインデックス|
|220.210.199.208|255.255.255.248|LIFE&MONEY|
|220.210.198.0|255.255.255.192|ひかり電話対応機器ファームアップ用|

-- [[マイクロ総合研究所 （ルータ設定):http://www.mrl.co.jp/support/nwginfo/guide/pppoe/multi_session.htm]]
-- [[マイクロ総合研究所 （解析方法):http://www.mrl.co.jp/support/nwginfo/guide/pppoe/check_syslog2.htm]]
- マイクロ総研の設定情報に従って pppoe マルチセッションの対応ができた
- &color(red){この設定は Super OPT が DHCP サーバー、Primary DNS になる必要があり、spirit.hmuna.com で named、dhcpd を動作させる事ができなくなった};
- &color(red){Linux 評価ボードのネットワークブート用に DHCPD を Linux サーバーで動作させる必要があり、本件対策が必要};
-- Net Genesis 設定ファイル [2007-1-8] ⇒ &ref(config_20070108.bin);

- マイクロ総研のサポートに確認した ［2007-1-9］
-- DNS、Default_Gateway がルータを指していればDHCP サーバーを外に立てることは出来る
-- ということはルータ外に DNS は立てることができない （内向きにDNSを立てることは出来ない）
-- Super OPT-G は IPv6 のパケットは通さない （ので手前にスイッチHUB を付ければ問題ない）

タイムスタンプを変更しない

#contents();
*** セキュリティポリシー [#o6216462]

- LAN 　 　⇒ ルーター／外部 は制限なし (但し Microsoft Netbios は遮断)

*** Net Genesis の Firewall 設定 （asof 2006-12-15） [#v25c9a65]
- Net Genesis 設定ファイル [2006-12-15] ⇒ &ref(config_20061214.bin);
- &ref(fw_20061215.JPG);

- 2006-12-15 Nmap Winで再実行

テキスト整形のルールを表示する