ルータの設定(MN128 SOHO SL-11の場合)

ルータの現在の設定です。一応うまく稼働しておりますが、ご指導かたよろしくお願いします。

【備考】ファームウェアバージョン 1.51
【書式】

ip filter 番号処理方向 WAN側IP LAN側IP プロトコル WAN側ポート LAN側ポート remote *

番号---------フィルター番号は1～32（最新のファームウェアでは64）まで任意に設定できる
処理---------PASS（一致すれば通す） REJECT（一致すれば拒否）
方向---------IN（WAN側からLAN側へ）OUT（LAN側からWAN側へ）
WAN側IP------WAN側のIPアドレス
LAN側IP------LAN側のIPアドレス
プロトコル-----TCP　ICPM　UDP　
WAN側ポート---WAN側ポート番号
LAN側ポート---LAN側ポート番号
remote-------どの接続先で有効にするかの設定

【注】

ワイルドカード（*）が使用可能で、その場合はすべてを意味する。
FTP のパッシブモードに対応させるためには、ポート番号 1024 ～ 65535 までを開放しなければならない。
ICMP は、ネットワークの異常を知らせたり診断をするときに使う。

公開するサービス
ip filter 11 pass in * 192.168.0.2/32 tcp * www remote 0 ip filter 12 pass in * 192.168.0.2/32 tcp * ftp remote 0 ip filter 13 pass in * 192.168.0.2/32 tcp * smtp remote 0 ip filter 14 pass in * 192.168.0.2/32 tcp * pop3 remote 0 ip filter 15 pass in * 192.168.0.2/32 * * 1024-65535 remote 0

WAN（インターネット）側からファイルの共有パケットを遮断
ip filter 16 reject in * * * * 137-139 remote 0

WAN側（インターネット）からのアクセスを拒否
ip filter 17 reject in * * tcpest * * remote 0

発信元が不正な IP アドレスを遮断
ip filter 18 reject in 10.0.0.0/8 * * * * remote 0 ip filter 19 reject in 172.16.0.0/12 * * * * remote 0 ip filter 20 reject in 192.168.0.0/16 * * * * remote 0 ip filter 21 reject out * 10.0.0.0/8 * * * remote 0 ip filter 22 reject out * 172.16.0.0/12 * * * remote 0 ip filter 23 reject out * 192.168.0.0/16 * * * remote 0 ip filter 25 reject dns qtype 6 ip filter 26 restrict out * * tcpfin * * remote * ip filter 27 reject out * * * * 137-139 remote * ip filter 28 reject out * * * 137-139 * remote * ip filter 29 reject out * * udp 137 domain remote *

発信元が不正な IP アドレスを遮断

ip filter 18 reject in 10.0.0.0/8 * * * * remote 0
ip filter 19 reject in 172.16.0.0/12 * * * * remote 0
ip filter 20 reject in 192.168.0.0/16 * * * * remote 0
ip filter 21 reject out * 10.0.0.0/8 * * * remote 0
ip filter 22 reject out * 172.16.0.0/12 * * * remote 0
ip filter 23 reject out * 192.168.0.0/16 * * * remote 0
ip filter 25 reject dns qtype 6
ip filter 26 restrict out * * tcpfin * * remote *
ip filter 27 reject out * * * * 137-139 remote *
ip filter 28 reject out * * * 137-139 * remote *
ip filter 29 reject out * * udp 137 domain remote *

静的 IP アドレスの設定
ip host 192.168.0.2 foo.2y.net(1) 12:34:56:78:90:12(2) (1) 簡易HOSTSファイル機能を提供するようです。ダイナミックＤＮＳで登録したホスト（マシン名）とドメインネームですが、２台以上を登録する場合には、pc1.foo.2y.netとpc2.foo.2y.netなどとさらにホスト名を登録した形でも可。 (2)LANカードのMACアドレス。これを調べるには Linux であれば ifconfig を実行する。

静的 IP アドレスの設定

ip host 192.168.0.2 foo.2y.net(*1) 12:34:56:78:90:12(*2)

(*1) 簡易HOSTSファイル機能を提供するようです。ダイナミックＤＮＳで登録したホスト（マシン名）とドメインネームですが、２台以上を登録する場合には、pc1.foo.2y.netとpc2.foo.2y.netなどとさらにホスト名を登録した形でも可。

(*2)LANカードのMACアドレス。これを調べるには Linux であれば ifconfig を実行する。

WAN 側から入ってきた発信元が正当と思われるものを特定のパソコンに呼び込む（ルーティングテーブル)
ip nat 1 192.168.0.2/tcp/www ipcp remote 0 ip nat 2 192.168.0.2/tcp/ftp ipcp remote 0 ip nat 3 192.168.0.2/tcp/smtp ipcp remote 0 ip nat 4 192.168.0.2/tcp/pop3 ipcp remote 0

ルーターと同一のネットワークにある Lan 内の PC をインターネットに出て行かせるためのルーティングテーブル
ip nat 9 //* ipcp remote 0

2 枚目のの Lan カードのルーティング (通常のシステムでは不要)
ip route 192.168.1.0/24/15 local 192.168.0.2

Lan カードの2枚差しを行った場合に、内部のパソコンが上記のルート（上記の例では 192.168.0.2 ）を経由しないでインターネットに出て行くために
ip route 0.0.0.0/0/7 remote 0 auto

＜注＞
ルータの設定が正しいかどうか、セキュリティを含めて、テストしてくれるサイトがあります。Sygate Online Serviceを開いてください。
この右側にある Quick scan を選択し実行してみてください。
www ( 80 )、FTP ( 21 )、SMTP ( 25 )の定番ポートが OPEN とでれば、インターネットに公開できます。逆にこれらが開いていなければ、そのサービスを提供できないことになります。