YAMAHAのRT/RTXシリーズのルーターではIPフィルタをlanインターフェイスと接続先のppに適用することができます。
1台のRT/RTXシリーズのルーターのlan1側にサーバーを接続し、lan2側にONUやADSLモデムを接続します。lan2側はPPPoEでプロバイダと接続しますが、同時に2つのプロバイダのセッションを確立した場合を図で示したものが下図になります。(下図ではプロバイダとの接続線が2本ありますが物理的にはLANケーブル1本です)


このとき、IPフィルタはlan1のインターフェイスとプロバイダ1との接続pp1,プロバイダ2との接続pp2それぞれにIPフィルタを設定できます。(lan2インターフェイスにも適用できますが普通は設定しません。)

YAMAHA RTX1200の初期フィルタ

RTX1200のウィザードでの設定完了後に適用されるIPフィルタを見てみます。

lan1(in)

lan1のinには以下のIPフィルタが設定されます。

ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099
...
ip filter 100000 reject * * udp,tcp 135 *
ip filter 100001 reject * * udp,tcp * 135
ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100004 reject * * udp,tcp netbios_ssn *
ip filter 100005 reject * * udp,tcp * netbios_ssn
ip filter 100006 reject * * udp,tcp 445 *
ip filter 100007 reject * * udp,tcp * 445
ip filter 100099 pass * * * * *

ポート135(RPC:Remote Procedure Call)、ポート137～138(netbios_ns-netbios_ssn)、ポート139(netbios_ssn)、ポート445(SMB Direct Hosting)のパケットが外部(プロバイダ(pp)側)に出ないようにフィルタされています。始点ポートと終点ポートが分かれて書かれているのは始点、終点どちらかが対象のポートになっている場合はすべてブロックするためです。(NATやプロキシサーバー等でポート番号が変換されていた場合でもパケットを破棄できます。)

lan1(out)

lan1のoutにはフィルタは設定されていません。

pp1(in)

pp1のinには以下のIPフィルタが設定されます。
このフィルタはプロバイダ側からサーバー側へ受け付けるパケットのフィルタになります。(上図の模式図参照)

pp select 1
 ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032
...
ip filter 200003 reject 192.168.xxx.0/24 * * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200030 pass * 192.168.xxx.0/24 icmp * *
ip filter 200032 pass * 192.168.xxx.0/24 tcp * ident

ポート135(RPC:Remote Procedure Call)、ポート137～139(netbios_ns-netbios_ssn)、ポート445(SMB Direct Hosting)のパケットが内部に入らないようブロックしています。また、ping(icmpプロトコル),ポート113(IDENT)は宛先が自分のアドレスの場合に限り受け付けます。

pp1(out)

pp1のoutには以下のIPフィルタが設定されます。
このフィルタはサーバー側からプロバイダ側へ送信を許可するパケットのフィルタになります。(上図の模式図参照)

pp select 1
 ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026
 200027 200099 dynamic 200080 200081 200082 200083 200084 200098 200099
ip filter 200013 reject * 192.168.xxx.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200099 pass * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp

ポート135(RPC:Remote Procedure Call)、ポート137～139(netbios_ns-netbios_ssn)、ポート445(SMB Direct Hosting)のパケットが外部に出ないようブロックしています。

IP filterの200026,200027は無用な発呼を抑えるフィルタになります。restrictタイプを用いることで、回線が切断されている場合にはパケットを破棄します。(特定のWebサーバーに接続したのちWebブラウザを終了するとtcpfinパケットが送出されるそうです。)参考：http://www.rtpro.yamaha.co.jp/RT/FAQ/Config/unknown-connect-filter.html
常時接続の場合はそれほど問題にならないかもしれませんが、無駄なパケットを外に出さない意味では入れておいたほうがよいでしょう。

動的フィルタは、プロトコルが複数のコネクションを張る場合に適切にパケットを送出できるようにするためのフィルタです。ftpのデータコネクション接続が適切にできるようになります。domainはDNSの応答を見てセッションの終了を検出します。SMTPは動的フィルタとは直接関係なくSMTP固有の攻撃を検出できます。http,pop3の動的フィルタが記載されていますが,http,pop3,telnetは(現在のところ)特別な処理をしてはいません。参考：http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
静的フィルタの200099,動的フィルタの200098,200099が有効になっているため、一般的なTCP,UDPの通信のパケットは外部に出られます。