【自宅サーバ】ネットワークの設定完了!

以前の記事で構想していた自宅ネットワーク改装が終わりました。

 

f:id:no1497:20170510000711j:plain

これです。

Cisco1812Jに行ったこと

基本的にCisco1812Jに設定を盛り込みまくることとなりました。

 

 

です。

上記のブロードバンドルータ機能は結構ネットに落ちてるね。

 

ブロードバンドルータとしての設定

PPPoE、NAPTの設定については以下のサイトを参照しました。

blog.redbox.ne.jp

 

特に特筆すべき設定内容はなし。

 

セキュリティの設定

セキュリティはCBACを利用しました。

 

ip inspect name CBAC tcp router-traffic
ip inspect name CBAC udp router-traffic
ip inspect name CBAC ftp
ip inspect name CBAC icmp router-traffic

!

ip access-list extended INTERNET
deny ip any any

!

interface Dialer1
ip access-group INTERNET in
ip inspect CBAC out

 CBACのrouter-trafficオプションは、ルータ自身が発信するパケットも監査の対象とします。

なので、このオプションがないとルータ自身から外部へpingを打っても、ダイナミックACLが作成されず復路の通信がdeny ip any anyによってはじかれます。

公開サーバの設定(ポートフォワーディング)

TCP/80でリッスンするWebサーバに192.168.1.1のアドレスを割り振って、外部公開する場合の例は以下の通り。

 

ip nat inside source static tcp 192.168.1.1 80 interface Dialer1 80

ip access-list extended INTERNET
permit tcp any any eq 80
deny ip any any

 

interface Dialer1
ip access-group INTERNET in

 

今後、外部からアクセスさせたい通信がある場合は以下のテンプレートを増やしていけばよい。

ip nat inside source static [tcp/udp/ip] [プライベートIPアドレス] [宛先ポート番号interface Dialer1 [宛先ポート番号]

ip access-list extended INTERNET

permit [tcp/udp/ip] any any eq [宛先ポート番号] log

 DNSサーバとしての役割

ルータを各クライアントのDNSサーバの宛先とします。

interface Dialer1
ppp ipcp dns request accept

!

ip dns server

 ISPよりPPPoEからDNSサーバ情報を受信し、サーバとしての役割を有効化しています。

 

その他

 

一旦、DMZ→Trustは全拒否、Trust→DMZは全許可としてます。

同じようにCBACを利用してます。

 

interface Vlan 10 ※DMZセグメント用SVI
ip access-group DMZ in
ip inspect CBAC out

!

ip access-list extended DMZ

deny ip 192.168.0.0 0.0.0.255 ※Localアドレス
permit ip any any

 
f:id:no1497:20170513235101j:image

つまり図にするとこんなイメージですね。

まとめ

というわけで、ネットワーク的には完成。

あとはDDNSの設定をして、外部公開できるようにするつもりです。