<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #58
ローカルルーター(IPフィルター)
Ethernet上のIPサブネットを接続するローカルルーターの設定例です。ここでは、IPトラフィックフィルターを併用して、サブネット間の通信を制御しています。
ここでは、次のような構成のネットワークを例に説明します。IPのフィルタリングは次のような条件にしたがって行います。
- TCPは、192.168.20.0/24から192.168.10.0/24へのみコネクションを張れる。
- 192.168.10.0/24から192.168.20.0/24へはTCPのコネクションを張ることができない。
- UDPはすべて禁止。
- ICMPは双方向で許可する。
表 1
| |
ルーターA |
| eth0のIPアドレス |
192.168.10.1/24 |
| eth1のIPアドレス |
192.168.20.1/24 |
- IPモジュールを有効にします。
- eth0インターフェースにIPアドレスを設定します。
ADD IP INT=eth0 IP=192.168.10.1 MASK=255.255.255.0 ↓
- eth1インターフェースにIPアドレスを設定します。
ADD IP INT=eth1 IP=192.168.20.1 MASK=255.255.255.0 ↓
- eth0インターフェースに適用するIPフィルター「1」の設定を行います。192.168.10.0/24から192.168.20.0/24へのICMPパケットは通過させます。
ADD IP FILT=1 SO=192.168.10.0 SM=255.255.255.0 DEST=192.168.20.0 DM=255.255.255.0 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=1 PROTOCOL=ICMP ↓
- 192.168.20.0/24からFTPサーバーにアクセスできるよう、FTPデータコネクションポートからのTCPパケットは無条件で通過させます(FTPではコントロール用とデータ用に2本のセッションを用います。データ用は通常サーバー側から開始されます)。
ADD IP FILT=1 SO=192.168.10.0 SM=255.255.255.0 DEST=192.168.20.0 DM=255.255.255.0 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=2 PROTOCOL=TCP SPORT=FTPDATA SESSION=ANY ↓
- その他のTCPパケットについては、すでにコネクションが確立されている場合のみ通過させます。
ADD IP FILT=1 SO=192.168.10.0 SM=255.255.255.0 DEST=192.168.20.0 DM=255.255.255.0 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=3 PROTOCOL=TCP SESSION=ESTABLISHED ↓
- eth1インターフェースに適用するIPフィルター「2」の設定を行います。192.168.20.0/24から192.168.10.0/24へのICMPパケットは通過させます。
ADD IP FILT=2 SO=192.168.20.0 SM=255.255.255.0 DEST=192.168.10.0 DM=255.255.255.0 AC=INCLUDE ↓
SET IP FILT=2 ENTRY=1 PROTOCOL=ICMP ↓
- 192.168.20.0/24から192.168.10.0/24へのTCPパケットはすべて通過させます。
ADD IP FILT=2 SO=192.168.20.0 SM=255.255.255.0 DEST=192.168.10.0 DM=255.255.255.0 AC=INCLUDE ↓
SET IP FILT=2 ENTRY=2 PROTOCOL=TCP SESSION=ANY ↓
- IPフィルター「1」をeth0インターフェースに適用します。
- IPフィルター「2」をeth1インターフェースに適用します。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
ルーターAのコンフィグ
[テキスト版]
ENABLE IP ↓
ADD IP INT=eth0 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=eth1 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP FILT=1 SO=192.168.10.0 SM=255.255.255.0 DEST=192.168.20.0 DM=255.255.255.0 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=1 PROTOCOL=ICMP ↓
ADD IP FILT=1 SO=192.168.10.0 SM=255.255.255.0 DEST=192.168.20.0 DM=255.255.255.0 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=2 PROTOCOL=TCP SPORT=FTPDATA SESSION=ANY ↓
ADD IP FILT=1 SO=192.168.10.0 SM=255.255.255.0 DEST=192.168.20.0 DM=255.255.255.0 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=3 PROTOCOL=TCP SESSION=ESTABLISHED ↓
ADD IP FILT=2 SO=192.168.20.0 SM=255.255.255.0 DEST=192.168.10.0 DM=255.255.255.0 AC=INCLUDE ↓
SET IP FILT=2 ENTRY=1 PROTOCOL=ICMP ↓
ADD IP FILT=2 SO=192.168.20.0 SM=255.255.255.0 DEST=192.168.10.0 DM=255.255.255.0 AC=INCLUDE ↓
SET IP FILT=2 ENTRY=2 PROTOCOL=TCP SESSION=ANY ↓
SET IP INT=eth0 FILT=1 ↓
SET IP INT=eth1 FILT=2 ↓
|
CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #58
Copyright (C) 1997-2003 アライドテレシス株式会社
PN: J613-M0507-00 Rev.G
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))