先日上記のような記事を書いたのですが、実はサラッと書いてしまったことがあるので、注意すべき事項として書いておきます。
特に固定IPをお持ちの方で、内部への通信を行うことを想定している方(Webサーバの公開など)はご一読ください。
というのも、Webサーバなどを公開する場合、80番ポートなどを開ける必要がありますがRouterboardの場合、WebfigというWebUIを持っているので、DST-NATをかけてもWebfigが開いてしまうという状態になる場合があります。この場合は以下の方法で対応することが出来ます。
対応方法
- Webfigサービス関連の停止
- Firewallへのルールの追記
上記の場合は必要の際にWebfigにアクセスできなくなるので(WinBoxを使用できない環境など)、現実的な対応としては後者になると思います。
/ip firewall filter
add action=drop chain=input comment=Block_inbound_webUI dst-port=80 in-interface=all-ppp \
protocol=tcp
add action=drop chain=input comment=Block_inbound_ftp dst-port=21 in-interface=all-ppp \
protocol=tcp
add action=drop chain=input comment=Block_inbound_ssh dst-port=22 in-interface=all-ppp \
protocol=tcp
add action=drop chain=input comment=Block_inbound_telnet dst-port=23 in-interface=all-ppp \
protocol=tcp
add action=drop chain=input comment=Block_inbound_DNS dst-port=53 in-interface=all-ppp \
protocol=udp
FTPやTelnetについては使用することが無いということであれば、以下のようにしてサービスごと停止することも可能です。
/ip service
set telnet disabled=yes
set ftp disabled=yes
というわけで不注意にポート開放などをしていると実際にはRouterboardにアクセスしているという状況になりかねませんので注意して使用するようにしてください。
コメント
SECRET: 0
PASS: 74be16979710d4c4e7c6647856088456
>hanakara_milk さん
お役に立って何よりですw
基本はiptablesなので、そちらにも目を通していただくのがいいかと思います。
> GUIからの設定項目がよくわからんかったので、ここの設定をコンソールから入れて、あとからGUI上で内容確認して、何を入れればいいか理解しましたw助かりましたありがとうございますw
SECRET: 0
PASS: 74be16979710d4c4e7c6647856088456
GUIからの設定項目がよくわからんかったので、ここの設定をコンソールから入れて、あとからGUI上で内容確認して、何を入れればいいか理解しましたw助かりましたありがとうございますw