【自宅サーバ】ネットワークの設定完了!
以前の記事で構想していた自宅ネットワーク改装が終わりました。
これです。
Cisco1812Jに行ったこと
基本的にCisco1812Jに設定を盛り込みまくることとなりました。
です。
上記のブロードバンドルータ機能は結構ネットに落ちてるね。
ブロードバンドルータとしての設定
PPPoE、NAPTの設定については以下のサイトを参照しました。
特に特筆すべき設定内容はなし。
セキュリティの設定
セキュリティはCBACを利用しました。
ip inspect name CBAC tcp router-traffic
ip inspect name CBAC udp router-traffic
ip inspect name CBAC ftp
ip inspect name CBAC icmp router-traffic!
ip access-list extended INTERNET
deny ip any any!
interface Dialer1
ip access-group INTERNET in
ip inspect CBAC out
CBACのrouter-trafficオプションは、ルータ自身が発信するパケットも監査の対象とします。
なので、このオプションがないとルータ自身から外部へpingを打っても、ダイナミックACLが作成されず復路の通信がdeny ip any anyによってはじかれます。
公開サーバの設定(ポートフォワーディング)
TCP/80でリッスンするWebサーバに192.168.1.1のアドレスを割り振って、外部公開する場合の例は以下の通り。
ip nat inside source static tcp 192.168.1.1 80 interface Dialer1 80
ip access-list extended INTERNET
permit tcp any any eq 80
deny ip any any
interface Dialer1
ip access-group INTERNET in
今後、外部からアクセスさせたい通信がある場合は以下のテンプレートを増やしていけばよい。
ip nat inside source static [tcp/udp/ip] [プライベートIPアドレス] [宛先ポート番号interface Dialer1 [宛先ポート番号]
ip access-list extended INTERNET
DNSサーバとしての役割
ルータを各クライアントのDNSサーバの宛先とします。
interface Dialer1
ppp ipcp dns request accept!
ip dns server
ISPよりPPPoEからDNSサーバ情報を受信し、サーバとしての役割を有効化しています。
その他
一旦、DMZ→Trustは全拒否、Trust→DMZは全許可としてます。
同じようにCBACを利用してます。
interface Vlan 10 ※DMZセグメント用SVI
ip access-group DMZ in
ip inspect CBAC out!
deny ip 192.168.0.0 0.0.0.255 ※Localアドレス
permit ip any any
つまり図にするとこんなイメージですね。
まとめ
というわけで、ネットワーク的には完成。
あとはDDNSの設定をして、外部公開できるようにするつもりです。