IP フィルタリング
ポリシー
blue 時代の「使用するポートのみ開けておき,
それ以外は閉じる」というポリシーを引き継ぐ.
設定
上記ポリシーのもと, 次のような動作をさせる.
- デフォルトは全部遮断(静的フィルタリング).
- 宛先ポート番号が許可されているものならば許可(静的フィルタリング).
- 上記で不具合のある部分は動的フィルタリング.
なお, ログについてはログサーバ構築を検討する. (ringo と共有?)
静的フィルタの設定
基本的には全部静的フィルタで設定しておき,
宛先(または送信元)ポート番号が許可されているものならば通過させる.
(静的フィルタ番号 1 つにつきポート番号は 10 個以内)
- [行き] 宛先ポート番号でフィルタリング.
-
# ip filter 1 pass-log * * tcp * 21,22,23,25,80,110,119,143,443,465
(3 つの * はそれぞれ送信元アドレス, 宛先アドレス,
送信元ポートリストを指す.)
-
# ip filter 2 pass-log
* * tcp * 515,995,2401,4400,8080,9080,9090,9091,9191
-
# ip filter 3 pass-log * * udp * 53,123,34334
-
# ip filter 4 pass-log * * tcp,udp * 554,1935
-
# ip filter 10 pass-log * 133.87.45.66 udp * 514 (ログ転送用)
- [帰り] 送信元ポート番号でフィルタリング.
-
# ip filter 5 pass-log * * tcp 21,22,23,25,80,110,119,143,443,465 *
- # ip filter 6 pass-log
* * tcp 515,995,2401,4400,8080,9080,9090,9091,9191 *
-
# ip filter 7 pass-log * * udp 53,123,34334 *
-
# ip filter 8 pass-log * * tcp,udp 554,1935 *
- [行き帰りとも] プロトコルでフィルタリング.
- # ip filter 9 pass-log * * icmp
条件を満たさず通過できなかったパケットは破棄される.
(補足) フィルタ設定は
# no ip filter フィルタ番号
で消すことができる.
動的フィルタの設定
上記の静的フィルタでは内から外への ftp 接続ができないため,
動的フィルタを用いる.
-
# ip filter dynamic 1 192.168.16.0/24 * ftp
(補足) フィルタ設定は
# no ip filter dynamic フィルタ番号
で消すことができる.
フィルタの適用
フィルタを組み合わせてパケットの送受信を制御する.
- # ip lan1 secure filter out 1 2 3 4 9 10 dynamic 1
- # ip lan1 secure filter in 5 6 7 8 9
参考文献
- YAMAHA Network Equipment コマンドリファレンス
最終更新日 : 2007/12/21 岩堀智子
もどる