IP フィルタリング
ポリシー
blue 時代の「使用するポートのみ開けておき,
それ以外は閉じる」というポリシーを引き継ぐ.
設定
上記ポリシーのもと, 次のような動作をさせる.
- デフォルトは全部遮断(静的フィルタリング).
- 宛先ポート番号が許可されているものならば許可(静的フィルタリング).
- 上記で不具合のある部分は動的フィルタリング.
なお, ログについてはログサーバを構築. (blue へ送る)
静的フィルタの設定
基本的には全部静的フィルタで設定しておき,
宛先(または送信元)ポート番号が許可されているものならば通過させる.
(静的フィルタ番号 1 つにつきポート番号は 10 個以内)
- [行き] 宛先ポート番号でフィルタリング.
-
# ip filter 1 pass-log * * tcp * 21,22,23,25,80,110,119,143,443,465
(3 つの * はそれぞれ送信元アドレス, 宛先アドレス,
送信元ポートリストを指す.)
-
# ip filter 2 pass-log
* * tcp * 515,995,2401,4400,8080,9080,9090,9091,9191,10443
-
# ip filter 3 pass-log * * udp * 53,123,34334
-
# ip filter 4 pass-log * * tcp,udp * 554,1935
-
# ip filter 10 pass-log * 133.87.45.66 udp * 514 (ログ転送用)
-
# ip filter 11 pass-log * * tcp * 873
-
# ip filter 13 pass-log * * tcp * 587,993
-
# ip filter 15 pass-log * * udp * 500,4500,10000
-
# ip filter 17 pass-log * * tcp,udp * 5938
-
# ip filter 19 pass-log * * tcp,udp * 5999
-
# ip filter 23 pass-log * * tcp,udp * 27000,27005
-
# ip filter 24 pass-log * * tcp,udp 27000,27005 *
-
# ip filter 25 pass-log * * tcp,udp * 1700,1701
-
# ip filter 26 pass-log * * tcp,udp 1700,1701 *
-
# ip filter 27 pass-log * * udp * 8308
-
# ip filter 28 pass-log * * udp 8308 *
- [行き帰りとも] プロトコルでフィルタリング.
- # ip filter 9 pass-log * * icmp
条件を満たさず通過できなかったパケットは破棄される.
(補足) フィルタ設定は
# no ip filter フィルタ番号
で消すことができる.
動的フィルタの設定
上記の静的フィルタでは内から外への ftp 接続ができないため,
動的フィルタを用いる.
-
# ip filter dynamic 1 192.168.16.0/24 * ftp
(補足) フィルタ設定は
# no ip filter dynamic フィルタ番号
で消すことができる.
フィルタの適用
フィルタを組み合わせてパケットの送受信を制御する.
- # ip lan1 secure filter out 1 2 3 4 9 10 11 13 15 17 19 23 25 27 dynamic 1
- # ip lan1 secure filter in 5 6 7 8 9 12 14 16 18 20 24 26 28
IP フィルタリング設定例
- administrator で作業
> administrator
password:
- フィルタの設定 (静的フィルタ)
例として,587 番と 993 番ポートの設定を取り上げる.
(詳細は,YAMAHA Network Equipment コマンドリファレンス P79 参照)
- [行き] 宛先ポート番号でフィルタリング
# ip filter 13 pass-log * * tcp * 587,993
- [帰り] 送信元ポート番号でフィルタリング
# ip filter 14 pass-log * * tcp 587,993 *
- フィルタの適用
# ip lan1 secure filter out 1 2 3 4 9 10 11 13 dynamic 1
# ip lan1 secure filter in 5 6 7 8 9 12 14
- 設定の保存 (不揮発性メモリに書き込み)
#save
参考文献
- YAMAHA Network Equipment コマンドリファレンス
最終更新日 :
2016/08/29 三上峻
もどる