YAMAHA RTXで接続元IPを制限
「とにかくテレワーク」だった昨年とは違い、「今のやり方で問題ないか?」「もっといいやり方はないか?」と精査する時期になってきました。
今までの設定を見直して改善します。
L2TP/IPsecで事務所に接続するのだが、得体の知れないネットワークからの接続は避けたい。
ネットワークセキュリティがある程度確保された、特定のサテライトオフィスからの接続だけ許可したい。
そんな要望に応えて、少し設定を変更しました。
固定IPを取得
接続元となるサテライトオフィス側に、固定IP/グローバルIP を付与しました。ここからのアクセスのみ許可します。
フィルタリング設定変更
設定変更箇所は in 向きのフィルタリングです。
以下のサンプルconfigを接続元制限する設定に変更してみます。
上記configではルーターのプライベートアドレスは以下のように記載されています。
ヤマハルーターのプライベートアドレス : 192.168.100.1
そしてppにフィルタリングが設定されているサンプルとして、以下のような記述がありました。
pp select 1
ip pp secure filter in ... 200080 200081 200082 200083 ...
ip filter 200080 pass * 192.168.100.1 esp * *
ip filter 200081 pass * 192.168.100.1 udp * 500
ip filter 200082 pass * 192.168.100.1 udp * 4500
ip filter 200083 pass * 192.168.100.1 udp * 1701
フィルタリングの番号は任意ですが、仮に上記のようなフィルタリング設定を、接続元IPアドレス(固定IP)を制限したものに変更します。
フィルタリングについては、以下のサイトに記載があります。
www.rtpro.yamaha.co.jp
上記サイトの [ IPパケット・フィルタのパターンを定義する ] の箇所にフィルタの記述方法があります。
「ip filter」 の記述に続き以下の書式となっています。
フィルタ番号
タイプ
始点アドレス
終点アドレス
プロトコル
始点ポート
終点ポート
今回の訂正箇所は、「始点アドレス」です。
ここをサテライトオフィス(接続元)の固定IP/グローバルIPに変更します。
変更イメージは以下のような感じです。
pp select 1
ip pp secure filter in ... 200080 200081 200082 200083 ...
ip filter 200080 pass (接続元IP) 192.168.100.1 esp * *
ip filter 200081 pass (接続元IP) 192.168.100.1 udp * 500
ip filter 200082 pass (接続元IP) 192.168.100.1 udp * 4500
ip filter 200083 pass (接続元IP) 192.168.100.1 udp * 1701
これで、(接続元IP)以外は拒否する設定に変更されました。