自宅サーバーのルーターはISDN時代はOMRON、ADSL時代はCR-110、その後、RT314となり、BフレッツもRT314
を使っていたが、2003年暮れにRT314が不調となり、再度CR-110を引っぱり出して使っていた。
RT314はsyslogやfilter機能も気に入っていたので、ルーターを買い換えるにしても同じメーカーとも思ったが、最近は手頃なルーターを発売していない。予算は2万円程度としてネットで調べたらいくつかの候補が挙がったが、その中で安定性では優れていると思われるマイクロ総合研究所のSuperOPT100を購入した。自宅サーバーは24時間、通年運用となるので、いくら性能が良くても安定性に欠ける機種では問題である。
デフォルトの設定はNetBIOS on TCP/IP、Microsoft-DSの遮断だけである。ただし、WAN側から発信されるIPフレームはデフォルトで全て遮断となっている。この状態で
Shields Up!でチェックすると全てのポートは閉じられていた。
追加のフィルタであるが、マニュアルにはあまり情報がないので、マイクロ総合研究所のサイトにあった
IPアドレス スプーフィング(なりすまし)防止を追加設定した。今のところ、これだけであるが、サーバー自体にもフィルターをかけているので一応二重となっている。
syslogに関してはRT314は秀逸であった。フィルターのルール毎にlogに出力するしないを選べるようになっていた。SuperOPT100も事前にマニュアルをダウンロードして調べたが、外部へ出せるのが確認できただけである。
マニュアルにはsyslogを外部へ出す方法は書いてあるが、受け取りに関する記述はない。唯一、ファシリティーコード :LOG_USER(固定)と記述があったので、これを手かがりにして、/etc/syslog.confに
user.* /var/log/routerlog
を追加した。routerlogはログを格納するためのファイルである。
これでとりあえず、syslogをサーバーで受け取ることができた。
セキュリティー関係のログは、IPマスカレードに関するものだけである。インターネット側から通信が開始されたIPフレームが、IPマスカレード(IPアドレス変換)機能によって破棄された場合にだけ、以下のようにログに出力される。
May 2 06:50:05 192.168.0.1 S03:MSQ: Discard packet. TCP(80.32.3.158:4696 -> 61.206.119.206:137)
とりあえず、不正アクセスは監視できそうであるが、なんだか物足りない感じがする。
LAN内にはDNSサーバーを設置していないので、自宅Webサーバーへのアクセスはドメインが使えず、IPを直打ちしている。DNSサーバーを何故、設置しないかというとセキュリティー対策のためであるが、ある面では不便である。
このルーターにはEasyDNSという機能があり、これを設定しておけばドメインからプライベートアドレスへの名前解決が出来るので、LAN内のWebサーバーへもドメインでアクセスできるようになった。