IP フィルタリング

ポリシー

blue 時代の「使用するポートのみ開けておき, それ以外は閉じる」というポリシーを引き継ぐ.

• 8 号館宇宙惑星プライベート LAN 運用ルール

設定

上記ポリシーのもと, 次のような動作をさせる.

1. デフォルトは全部遮断(静的フィルタリング).
2. 宛先ポート番号が許可されているものならば許可(静的フィルタリング).
3. 上記で不具合のある部分は動的フィルタリング.

なお, ログについてはログサーバを構築. (blue へ送る)

静的フィルタの設定

基本的には全部静的フィルタで設定しておき, 宛先(または送信元)ポート番号が許可されているものならば通過させる.
(静的フィルタ番号 1 つにつきポート番号は 10 個以内)

• [行き] 宛先ポート番号でフィルタリング.
  
  
  • # ip filter 1 pass-log * * tcp * 21,22,23,25,80,110,119,143,443,465
    (3 つの * はそれぞれ送信元アドレス, 宛先アドレス, 送信元ポートリストを指す.)
  • # ip filter 2 pass-log * * tcp * 515,995,2401,4400,8080,9080,9090,9091,9191,10443
  • # ip filter 3 pass-log * * udp * 53,123,34334
  • # ip filter 4 pass-log * * tcp,udp * 554,1935
  • # ip filter 10 pass-log * 133.87.45.66 udp * 514 (ログ転送用)
  • # ip filter 11 pass-log * * tcp * 873
  • # ip filter 13 pass-log * * tcp * 587,993
  • # ip filter 15 pass-log * * udp * 500,4500,10000
  • # ip filter 17 pass-log * * tcp,udp * 5938
  • # ip filter 19 pass-log * * tcp,udp * 5999
  • # ip filter 23 pass-log * * tcp,udp * 27000,27005
  • # ip filter 24 pass-log * * tcp,udp 27000,27005 *
  • # ip filter 25 pass-log * * tcp,udp * 1700,1701
  • # ip filter 26 pass-log * * tcp,udp 1700,1701 *
  • # ip filter 27 pass-log * * udp * 8308
  • # ip filter 28 pass-log * * udp 8308 *
  • # ip filter 29 pass-log * * tcp * 2222
  • # ip filter 29 pass-log * * tcp 2222 *
• [行き帰りとも] プロトコルでフィルタリング.
  
  
  • # ip filter 9 pass-log * * icmp

条件を満たさず通過できなかったパケットは破棄される.

(補足) フィルタ設定は # no ip filter フィルタ番号 で消すことができる.

動的フィルタの設定

上記の静的フィルタでは内から外への ftp 接続ができないため, 動的フィルタを用いる.

• # ip filter dynamic 1 192.168.16.0/24 * ftp

(補足) フィルタ設定は # no ip filter dynamic フィルタ番号 で消すことができる.

フィルタの適用

フィルタを組み合わせてパケットの送受信を制御する.

• # ip lan1 secure filter out 1 2 3 4 9 10 11 13 15 17 19 23 25 27 29 dynamic 1
  
• # ip lan1 secure filter in 5 6 7 8 9 12 14 16 18 20 24 26 28 30

IP フィルタリング設定例

• administrator で作業

> administrator
password:

• フィルタの設定 (静的フィルタ)
  
  例として，587 番と 993 番ポートの設定を取り上げる.
  (詳細は，YAMAHA Network Equipment コマンドリファレンス P79 参照)
  
  
  • [行き] 宛先ポート番号でフィルタリング

    # ip filter 13 pass-log * * tcp * 587,993

  • [帰り] 送信元ポート番号でフィルタリング

    # ip filter 14 pass-log * * tcp 587,993 *

• フィルタの適用

  # ip lan1 secure filter out 1 2 3 4 9 10 11 13 dynamic 1
  # ip lan1 secure filter in 5 6 7 8 9 12 14

• 設定の保存 (不揮発性メモリに書き込み)

  #save

参考文献

• YAMAHA Network Equipment コマンドリファレンス