HOME LANを拡張 (5)
HOME LAN拡張つづき
ファイアウォール設定。
友人のPCサーバからはインターネット以外接続は必要ない。間違って不正アクセスになってもいけない(おたがいに)ので既存のLANとの通信は禁止しておく。ただ障害時などのテスト用にpingだけは許可、ただし宛先は既存(上位)ルータと既存LAN内のサーバのみ。
dd-wrtに強力な(?)firewall機能があるのだが細かく調べるのは骨なのでとりあえずそれはオフにして、必要な制限だけをする。
Security > Firewall
dd-wrtのiptablesで設定できるのだが、いきなり設定保存してリブートすると失敗したときに修正のためのアクセスができなくなる危険があるので、コマンドラインで確認してから設定を確定する。(実際コマンドラインでのテストではまった)。テストしているところの画面は省略してfirewall設定は下記:
Administration > Commands > Firewall Command
192.168.129.102はサーバのアドレス。
192.168.129.254は既存ルータのアドレス。
追加LANセグメントから外へのpingが通らないのでしらべたところ既存ルータでブロックしていたので、許可の設定を追加。ipoeでトンネルインタフェースがありそこに。
ip filter 400100 pass * 192.168.130.0/24 icmp * *
ip tunnel secure filter in …….400100
これで完成。
(つづく)