【私の備忘録】Cisco1812Jに一般的なファイアー(FW)を設定する

CiscoのFirewall(以下アクセスリスト)は条件に一致したものがあればその後のACLは無視するという仕様です。おそらく一般的なブロードバンドルーターも同じような仕様になっているとおもいますが、気をつけなければいけないのは何もACLに記載していない場合、全ての通信を拒否するという暗黙のDenyがCiscoには定義されているということです。よって、まず拒否するACLを記載していき最後に全てのパケットを許可する設定を記載する必要があります。
今回は拡張アクセスリスト100番台~を設定します。

RT1(config)#access-list 100 deny ip 0.0.0.0 0.255.255.255 any
RT1(config)#access-list 100 deny ip 10.0.0.0 0.255.255.255 any
RT1(config)#access-list 100 deny ip 127.0.0.0 0.255.255.255 any
RT1(config)#access-list 100 deny ip 169.254.0.0 0.0.255.255 any
RT1(config)#access-list 100 deny ip 172.16.0.0 0.15.255.255 any
RT1(config)#access-list 100 deny ip 192.0.2.0 0.0.0.255 any
RT1(config)#access-list 100 deny ip 192.168.0.0 0.0.0.255 any
RT1(config)#access-list 100 deny ip 224.0.0.0 15.255.255.255 any
RT1(config)#access-list 100 deny ip 240.0.0.0 15.255.255.255 any
RT1(config)#access-list 100 deny tcp any any range 137 139
RT1(config)#access-list 100 deny tcp any range 137 139 any
RT1(config)#access-list 100 deny udp any any range netbios-ns netbios-ss
RT1(config)#access-list 100 deny udp any range netbios-ns netbios-ss any
RT1(config)#access-list 100 deny tcp any any eq 445
RT1(config)#access-list 100 deny tcp any eq 445 any
RT1(config)#access-list 100 deny udp any any eq 445
RT1(config)#access-list 100 deny udp any eq 445 any
RT1(config)#access-list 100 deny tcp any any eq telnet
RT1(config)#access-list 100 permit ip any any

・ローカルIPアドレスからWAN側への着信を拒否する
・Microsofot ファイル共有サービスを拒否する・NetBiosのリクエストを拒否する
・445番ポートでのアクセスを拒否する
・Telnetを拒否する
・これら以外のパケットは全て通過させる

RT1(config)#interface dialer 1
RT1(config-if)# ip access-group 100 in