SuperOPT100e NTPポートを遮断 LAN側からは通過

・NTPポート(タイムサーバー、時刻の同期)

サーバー公開用にルーターを設定しているが、今までNTPポート(123)はそのままポートを開いていた。しかしNTPはDOS攻撃の対象になるということを指摘された。実際一台のサーバーは数時間に一回外部のタイムサーバーと同期しながら、LAN側のタイムサーバーとして動作させている。つまりタイムサーバーとして外部からもアクセスできる、待ち受け状態になっている。ただし、このままNTPポートを閉じると、外部サーバーからの時刻取得ができなくなるので、それはできない。
以前使用していたアライドのar550はLAN側からのセッションのパケットは全て通すという設定があって、それ以外の外部からのパケットに関してポートを閉じることができた。SuperOPT100eにはそういう設定がなかったので、できないものとあきらめていた。

・設定例があった

しかし今回改めて設定例を調べてみると、その例が載っていた。「LAN側からのセッションのパケットは全て通す」というような設定はないが、フィルタをこの順番で、このように設定してやるとそれが実現できるという、応用というか裏技というような方法だ。
OPT100のファイアウォールの設定画面で以下のような2行を、この順番で設定してやる。どこかに、この2行を設定すればよいというのではないし、ブラウザのため行の表示そのものがかなり不安定だから注意が必要だ。裏技と考えれば、納得できるのではないかと思う。

LANから普通はWANと考えるが、ここではPPPoEセッション1を選ばなければいけない。実際WANを選んでみたら、タイムサーバーへの接続ができなかった。この行の順番が、LAN側から出たパケットの返事だけをPPPoE1からLANに通すという意味のようだ。ファイアウォールの設定例
この設定により、サーバーからのインターネット時刻の取得、同期ができるようになり、外部からのNTPポートは遮断された。LAN側でのタイムサーバーとして動作しながら、NTPのDOS攻撃は避けることができるようになる。現在実行中。

Comments are closed.