ヤマハ RTX810 で DS-Lite の IPv4 通信にフィルタリングを追加する

目次

はじめに

先日、IPv6 IPoE インターネット接続の上で DS-Lite 方式の IPv4 インターネット接続を行えるようにしましたが、その際に DS-Lite のトンネルに対してパケットフィルタリングは設定しませんでした。

DS-Lite の仕組み上、インターネット側からルーターの内側に IPv4 接続がやってくることはありません。
ただ、万一の場合も想定し、IPv4 通信にもパケットフィルタリングを設定することにしました。


パケットフィルタリングの設定

IPIP のトンネルインターフェースに関するパケットフィルタリングは Web GUI 上で行えないため、コマンドで設定を行いました。

用いたコマンドは主に次の3種類です。

設定例

 1ip filter 1 reject 10.0.0.0/8 * * * *
 2ip filter 2 reject 172.16.0.0/12 * * * *
 3ip filter 3 reject 192.168.0.0/16 * * * *
 4ip filter 11 reject * 10.0.0.0/8 * * *
 5ip filter 12 reject * 172.16.0.0/12 * * *
 6ip filter 13 reject * 192.168.0.0/16 * * *
 7ip filter 97 pass * * icmp * *
 8ip filter 98 reject * * * * *
 9ip filter 99 pass * * * * *
10ip filter dynamic 98 * * tcp
11ip filter dynamic 99 * * udp
12
13tunnel select 1
14ip tunnel secure filter in 1 2 3 97 98
15ip tunnel secure filter out 11 12 13 99 dynamic 98 99

IPIP トンネルの向こう側にあるのはインターネットなので、プライベート IP アドレスを送信元とする内向きパケットや、プライベート IP アドレスが宛先の外向きパケットは静的フィルタで破棄するようにしています。

それ以外の外向きパケットは静的フィルタ 99 番で全て通しています。

また、トンネルの外側から内向きに入ってくるパケットに対しては、静的フィルタ 97 番で ICMP のみ通して、それ以外は 98 番で破棄するようにしています。
ただし、動的フィルタ 98, 99 番にて、外向きに出ていく TCP, UDP のパケットに対する戻りの内向きパケットは通すようにしています。

これにより、インターネット接続サービス事業者側で何らかの脆弱性や問題があって不正な IPv4 パケットが送られてきたとしても、ルーターにて概ね守ることができるはずです。