読者です 読者をやめる 読者になる 読者になる

ウチのYAMAHAさんたち

IT NETWORK

 試行錯誤しながら設定を続けていたFWX120、本来の目的である外向けサーバの設定が出来ていないけれど、サーバ自体がまだほったらかし(というか、何をやるかはっきり決めていないという説も(^^;)なので、とりあえず実運用に乗せました。これによりNVR500さんは故障時のバックアップ機に。
 画像上の方(モニタの横)に置いてあるのはNECの無線LANルータで、単なるAPとして使用中。特に不具合はないんだけれど、WLX302に置き換えたいなと思ってます(YAMAHAで一式そろえるという自己満足なだけです)。

f:id:mskz_iwmr:20130520220330j:plain

 ポリシーフィルタの設定方法がまだ理解できていないけれど、デフォルトで設定された"Internet Access"の設定をコピペして追加したVLANの設定を入れてあります。何の参考にもならないだろうけれど、備忘録をかねてconfigを残しておきます。IPアドレスはローカル側のプライベートアドレスだから問題ないでしょう。

 このconfigでやりたかったのはこんな感じ。まだまだ出来ていないことが多いです。

  • 通常使うLAN、外部公開用のLAN、物理サーバ2台のheartbeat用LANを分ける
  • 外部公開用のLANから通常使うLAN側へのアクセスは一切不可。逆はssh,ftp,http位を通す(予定)
  • heartbeatは2つのポート間以外は一切無関係に


configここから

※2013/6/2 ログインユーザ名の記述が残っていたため削除。

Web管理画面から基本的な設定をして、後はコマンドで設定をいじってます。

login password *
administrator password encrypted *
system led brightness 1
ip route default gateway dhcp lan2
ip keepalive 1 icmp-echo 10 5 dhcp lan2
ip lan1 address 192.168.100.1/24
switch control use lan1 on
vlan lan1/1 802.1q vid=101 name=LOCAL
ip lan1/1 address 192.168.101.1/24
vlan lan1/2 802.1q vid=102 name=HEARTBEAT
ip lan1/2 address 192.168.102.1/24
vlan lan1/3 802.1q vid=103 name=DMZ
ip lan1/3 address 172.16.0.254/24
ip lan2 address dhcp
ip lan2 inbound filter list 201 202 203 204 205 206 207 299
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:ucom
ip filter 500000 restrict * * * * *
ip inbound filter 201 reject-nolog * * tcp,udp * 135
ip inbound filter 202 reject-nolog * * tcp,udp 135 *
ip inbound filter 203 reject-nolog * * tcp,udp * netbios_ns-netbios_ssn
ip inbound filter 204 reject-nolog * * tcp,udp netbios_ns-netbios_ssn *
ip inbound filter 205 reject-nolog * * tcp,udp * 445
ip inbound filter 206 reject-nolog * * tcp,udp 445 *
ip inbound filter 207 reject-nolog 192.168.100.0/24 * * * *
ip inbound filter 299 pass-nolog * * * * *
ip policy interface group 101 name=Private local lan1
ip policy address group 101 name=Private 192.168.100.0/24
ip policy address group 102 name=Any *
ip policy service group 101 name="Open Services"
ip policy service group 102 name=General dns
ip policy service group 103 name=Mail pop3 smtp
ip policy filter 1100 reject-nolog lan1 * * * *
ip policy filter 1110 pass-nolog * * * * 102
ip policy filter 1122 static-pass-nolog * lan1 * * *
ip policy filter 1123 static-pass-nolog * local * * *
ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http
ip policy filter 1700 pass-nolog local * * * *
ip policy filter 1710 static-pass-nolog * lan1 * * *
ip policy filter 1720 static-pass-nolog * lan1/1 * * *
ip policy filter 1730 static-pass-nolog * lan1/2 * * *
ip policy filter 1740 static-pass-nolog * lan1/3 * * *
ip policy filter 1900 reject-nolog lan2 * * * *
ip policy filter 1920 pass-log * lan1/1 * * 101
ip policy filter 2100 reject-nolog lan1/1 * * * *
ip policy filter 2110 pass-nolog * * * * 102
ip policy filter 2122 static-pass-nolog * lan1/1 * * *
ip policy filter 2123 static-pass-nolog * local * * *
ip policy filter 2124 static-pass-log * * 192.168.101.0/24 * http
ip policy filter 2460 pass-nolog * lan2 * * *
ip policy filter 3100 reject-nolog lan1/2 * * * *
ip policy filter 4100 reject-nolog lan1/3 * * * *
ip policy filter 9999 reject-nolog * * * * *
ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122] 19
00 [1920] 1700 [1710 1720 1730 1740] 2100 [2110 2123 [2124] 2122 2460] 3100 410
0 9999
ip policy filter set enable 101
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.99/24
dhcp scope 2 192.168.101.2-192.168.101.99/24
dns server dhcp lan2
dns private address spoof on
httpd host lan1
switch select lan1:3
 switch control function set system-name forCLIENT
 switch control function set led-brightness economy
 switch control function set vlan-port-mode 1 hybrid
 switch control function set vlan-access 2 101
 switch control function set vlan-access 3 101
 switch control function set vlan-access 4 101
 switch control function set vlan-access 5 101
 switch control function set vlan-access 6 101
 switch control function set vlan-access 7 101
 switch control function set vlan-access 8 101
 switch control function set vlan-trunk 1 101 join
switch select lan1:4
 switch control function set system-name forSERVER
 switch control function set led-brightness economy
 switch control function set vlan-port-mode 1 hybrid
 switch control function set vlan-access 2 103
 switch control function set vlan-access 3 101
 switch control function set vlan-access 4 101
 switch control function set vlan-access 5 102
 switch control function set vlan-access 6 101
 switch control function set vlan-access 7 102
 switch control function set vlan-access 8 101
 switch control function set vlan-trunk 1 101 join
 switch control function set vlan-trunk 1 103 join