YAMAHAで言うdynamicフィルターについて

#1

今、RouterBOARDのファイヤーウォールを見直しているのですが、YAMAHAルーターでいう、dynamicフィルターを書きたいと思います。
可能でしょうか?

ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * submission
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp

add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
に近いのでしょうか?
教えていただけると幸いです。

#2

こんにちは。
私も全然詳しくないのですが、RouterOSにおいてヤマハの動的フィルターに相当する動作は
Service Ports (/ip firewall service-port)の設定や、Layer7 ProtocolsやMangleなどとFilter Ruleの組み合わせによって実現されるものだと思います。
ポートのマッピングが単純なプロトコルであれば、お書きになった静的なフィルターで対応できますが
FTPなどポートの使い方が特殊なプロトコルではService Protsの設定による対応が必要となり、
更にこれでも対応できないようなプロトコルになると、Layer7を見るなど工夫してmark-connectionした上で通過フィルターを書くことになるのかなと。

私はそういった特殊なプロトコルを全く利用しておらず動作も確認できていないのですが…。

参考リンク
https://help.mikrotik.com/docs/display/ROS/Services#Services-ServicePorts

※すみません。認識に誤りがあったので大幅訂正しました。(編集履歴をご参照ください)

#3

こんにちは。

YAMAHAは触ったことがほとんど無いので動的フィルターについてはよく分かっていないのですが、

/ip/firewall/filter
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related

は、全ての内部からの通信の戻りを許可なので動的フィルターとは意味合いが違うと思います。
それに近い形だと以下のような感じですかね・・・

/ip/firewall/filter
add action=accept chain=OUT-Clients comment="Allow FTP" dst-port=21 protocol=tcp
add action=accept chain=OUT-Clients comment="Allow SMTP" dst-port=25 protocol=tcp
add action=accept chain=OUT-Clients comment="Allow POP3" dst-port=110 protocol=tcp
add action=accept chain=OUT-Clients comment="Allow DNS" dst-port=53 protocol=tcp
add action=accept chain=OUT-Clients comment="Allow DNS" dst-port=53 protocol=udp
add action=accept chain=OUT-Clients comment="Allow HTTP" dst-port=80 protocol=tcp
add action=accept chain=OUT-Clients comment="Allow HTTPS" dst-port=443 protocol=tcp
add action=accept chain=OUT-Clients comment="Allow Submission" dst-port=587 protocol=tcp
add action=accept chain=OUT-Clients comment="Allow established and related connections" connection-state=established,related

それぞれのプロトコルについての振る舞いを定義するという意味では、さらに以下のように設定したりするのが動的フィルターに近いような気がしています。

/ip/firewall/filter
# 80/tcp, 443/tcp だったらwwwにジャンプする
add action=jump chain=output dst-port=80,443 prptocol=tcp jump-target=www
# 80/tcp, 443/tcp に対するアクションを定義する
add action=accept chain=www dst-port=80,443 prptocol=tcp

答えになってますかね・・・?

#4

ありがとうございます。
ip service portとout-clients知りませんでした。
out-clientsを試してみたいと思います。
でも、establishedを許可していたら、out-clientsの許可の必要性が分からないのですが、そもそもヤマハの動的フィルターはなくても良いのでしょうか?

#5

chainに設定できるパラメータは自由に替えられるので、out-clientsにこだわらなくとも大丈夫です。
この場合は、それぞれのプロトコルをchainと紐付けグループ機能によってout-clientsと設定された接続に対して、connection-state=established,relatedとして処理する、という動作をすると思って頂ければ・・・

なので、わざわざ細かくHTTP接続の時はほげほげしたい、SMTP接続の時はゲホゲホしたい、みたいに使い分けするわけでは無ければ、最初に @hinata001 さんや、 @moog さんが言っているように以下の2行だけで良いと思います。
※外部からのアクセスが無いようなら、chain=inputも要らない気もしますが・・・

/ip/firewall/filter
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related