RTX810: LAN 内の FTP サーバを WAN 側に公開する方法の覚書

RTX810 を用いて、PPPoE で ISP に接続している場合で、LAN 内の FTP サーバを外部に公開する方法の備忘録。FTP サーバは 192.168.64.2 に存在するとする。

ip filter 1 pass * 192.168.64.2 tcp * 21
ip filter dynamic 1 * 192.168.64.2 ftp
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 192.168.64.2 tcp 21

pp select 1
 ip pp secure filter in 1 dynamic 1
 ip pp nat descriptor 1
 (中略)
pp enable 1

ルータ側は以上の設定で、実際に外部から FTP 接続を行い、PASV モードであれば通った。動的フィルタのおかげで、データ通信用のポートとか考えなくてもよい。素敵だ。(基本的なルータ設定、PPPoE およびその他フィルタの設定は必要)

感想。動的フィルタって凄い。

実際には、最低限の静的フィルタと LAN 内 FTP サーバへのフィルタは動的フィルタを併用で、こんな感じでどうかと思う。

ip lan1 address 192.168.64.1/24

ip filter 20001 reject 192.168.64.0/24 * * * *
ip filter 20002 pass * 192.168.64.0/24 icmp * *
ip filter 20003 pass * 192.168.64.0/24 tcp 20 *
ip filter 20004 pass * 192.168.64.0/24 udp 53 *
ip filter 20005 pass * 192.168.64.0/24 udp * 123
ip filter 20006 pass * 192.168.64.0/24 udp 123 *
ip filter 20007 reject * 192.168.64.0/24 tcp * 113
ip filter 20008 pass * 192.168.64.0/24 established * *
ip filter 20009 pass * 192.168.64.2 tcp * 21
ip filter 21001 pass * * * * *
ip filter dynamic 20001 * 192.168.64.2 ftp

nat descriptor type 200 masquerade
nat descriptor address outer 200 ipcp
nat descriptor address inner 200 auto
nat descriptor masquerade static 200 1 192.168.64.2 tcp 21 

pp select 1
 pp keepalive interval 30 retry-interval=30 count=12
 pp always-on on
 pppoe use lan2
 pppoe auto disconnect off
 pp auth accept pap chap
 pp auth myname username password
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ccp type none
 ppp ipv6cp use off
 ip pp mtu 1454
 ip pp secure filter in 20001 20002 20003 20004 20005 20006 20007 20008 20009 dynamic 20001
 ip pp secure filter out 21001
 ip pp nat descriptor 200
pp enable 1
  • 「pp auth myname」の username と password は、プロバイダからの提供される PPPoE 認証アカウントを設定する。

  • 実際に重要なのは、FTP サーバに対して、11 行目で静的フィルタリング、13 行目で動的フィルタリングをそれぞれ定義し、18 行目で WAN 側から LAN 側に TCP 21 番ポートの穴を空けている。また、定義したフィルタを 32 行目で有効にするようにしている。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です