【私の備忘録】Cisco1812Jに一般的なファイアー(FW)を設定する

CiscoのFirewall(以下アクセスリスト)は条件に一致したものがあればその後のACLは無視するという仕様です。おそらく一般的なブロードバンドルーターも同じような仕様になっているとおもいますが、気をつけなければいけないのは何もACLに記載していない場合、全ての通信を拒否するという暗黙のDenyがCiscoには定義されているということです。よって、まず拒否するACLを記載していき最後に全てのパケットを許可する設定を記載する必要があります。
今回は拡張アクセスリスト100番台~を設定します。

RT1(config)#access-list 100 deny ip 0.0.0.0 0.255.255.255 any
RT1(config)#access-list 100 deny ip 10.0.0.0 0.255.255.255 any
RT1(config)#access-list 100 deny ip 127.0.0.0 0.255.255.255 any
RT1(config)#access-list 100 deny ip 169.254.0.0 0.0.255.255 any
RT1(config)#access-list 100 deny ip 172.16.0.0 0.15.255.255 any
RT1(config)#access-list 100 deny ip 192.0.2.0 0.0.0.255 any
RT1(config)#access-list 100 deny ip 192.168.0.0 0.0.0.255 any
RT1(config)#access-list 100 deny ip 224.0.0.0 15.255.255.255 any
RT1(config)#access-list 100 deny ip 240.0.0.0 15.255.255.255 any
RT1(config)#access-list 100 deny tcp any any range 137 139
RT1(config)#access-list 100 deny tcp any range 137 139 any
RT1(config)#access-list 100 deny udp any any range netbios-ns netbios-ss
RT1(config)#access-list 100 deny udp any range netbios-ns netbios-ss any
RT1(config)#access-list 100 deny tcp any any eq 445
RT1(config)#access-list 100 deny tcp any eq 445 any
RT1(config)#access-list 100 deny udp any any eq 445
RT1(config)#access-list 100 deny udp any eq 445 any
RT1(config)#access-list 100 deny tcp any any eq telnet
RT1(config)#access-list 100 permit ip any any

・ローカルIPアドレスからWAN側への着信を拒否する
・Microsofot ファイル共有サービスを拒否する・NetBiosのリクエストを拒否する
・445番ポートでのアクセスを拒否する
・Telnetを拒否する
・これら以外のパケットは全て通過させる

RT1(config)#interface dialer 1
RT1(config-if)# ip access-group 100 in

【私の備忘録】Cisco1812Jの初期設定編3ローカル側設定編

ここからローカル側の設定を行います。
VLANを設定し、VLAN1(WANポート)、VLAN10(ローカルポート)で振り分けます。
さらにDHCPを有効にして自動的にIPを取得させます。
NAT設定、デフォルトルートの設定、DNS(Googleより取得)を設定していきます。

RT1(config)#int vlan10
RT1(config-if)#no shut
RT1(config-if)#exit

RT1(config)#int range fa 2-9
RT1(config-if-range)#switchport access vlan 10
RT1(config-if-range)#no shut
RT1(config-if-range)#exit

RT1(config)#service dhcp
RT1(config)#no ip dhcp conflict logging #DHCPデータベースエージェントを無効
RT1(config)#ip dhcp excluded-address 開始IPアドレス 終わりのIPアドレス #DHCPの除外IPを設定する場合
RT1(config)#ip dhcp pool プール名
RT1(dhcp-config)#import all
RT1(dhcp-config)#network IPアドレス サブネットマスク
RT1(dhcp-config)#default-router GWのIPアドレス
RT1(dhcp-config)#exit

NATを利用するIPアドレスの範囲をACLで指定します。今回はaccess-list 1で作成します。
RT1(config)#access-list 1 permit 192.168.0.0 0.0.0.255
RT1(config)#ip nat inside source list 1 interface dialer 1 overload
RT1(config)#dialer-list 1 protocol ip permit
RT1(config)#interface vlan 10
RT1(config-if)#ip nat inside
RT1(config)#interface dialer 1
RT1(config-if)#ip nat outside
RT1(config-if)#exit

LANとWANのつなぎ込みは終了、デフォルトルートの記載が無いとネットにつながらないため以下のように設定する。
RT1(config)#ip route 0.0.0.0 0.0.0.0 dialer 1 permanent

最後にルータのDNSを設定します。
RT1(config-if)#ip dns server
RT1(config-if)#ip domain lookup
RT1(config-if)#ip name-server 8.8.8.8
RT1(config-if)#ip name-server 8.8.4.4

3記事に渡って少し長くなりましたが、以上でWAN側PPPOEの設定からLAN側のIPアドレスの設定 NAT PATの設定と DNSサーバーの設定 デフォルトルートの設定でした。



【私の備忘録】Cisco1812Jの初期設定編2PPPoe設定編

高性能な1812jをブロードバンドルーターのように設定する方法を備忘録に記録しておく

ちなみにルータのIOSバージョンは15.1を使用しています。

Cisco1812JのルータにはFe0とFe1のWAN側ポートが2つ用意されており、Fe0にWAN回線のケーブルを接続する。
RT1(config)#int fa0
RT1(config-if)#pppoe enable
RT1(config-if)#pppoe-client dial-pool-number 1
RT1(config-if)#exit

RT1(config)#int dialer 1
RT1(config-if)#ip add negotiated
RT1(config-if)#mtu 1454
RT1(config-if)#ip tcp adjust-mss 1414
RT1(config-if)#dialer pool 1
RT1(config-if)#dialer idle-timeout 0
RT1(config-if)#dialer-group 1
RT1(config-if)#encapsulation ppp
RT1(config-if)#ppp authentication chap callin
RT1(config-if)#ppp chap hostname *******
RT1(config-if)#ppp chap password *******
RT1(config-if)#ppp ipcp dns request accept
RT1(config-if)#exit

【私の備忘録】Cisco1812Jの初期設定編1

IT屋の資格であるCCNA取得用に購入したCiscoルータの1812J設定の備忘録を残しておく。

まずはルータと設定用PC間でコンソールケーブルで接続する。
設定用PCよりTeratermなどでルータに接続する。
ルータは事前に初期化を終わらせてある。

ダイアログを使って設定するかを最初に聞いてくるのでnoを入力する。
Would you like to enter the initial configuration dialog? [yes/no]: no

初期状態ではシステムログが画面に表示されてしまい、コマンド入力の妨げになってしまう。
まずはログを非表示に設定し、ログにはタイムスタンプを合わせて記録するように設定する。
(config)#no logging console
(config)#logging buffered
(config)#service timestamps debug datetime msec localtime
(config)#service timestamps log datetime msec localtime

次にホストネームを設定する。
(config)#hostname RT1