<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #67
IPフィルター
IPフィルターは、IP、TCP、UDP、ICMPなどのヘッダー情報をもとに、パケットの通過・拒否を制御する機能です。この例では、IPフィルターの基本的な設定方法を、ISDNによるIP2点間接続の構成例をもとに解説します。
ここでは、次のような構成のネットワークを例に解説します。
表 1:ルーターの基本設定
| |
ルーターA |
ルーターB |
| ISDN番号 |
03-1234-1111 |
06-1234-2222 |
| ISDNコール名 |
TOOS |
TOOS |
| ISDN発着優先 |
発呼優先 |
着呼優先 |
| ISDN識別方式 |
サブアドレス識別 |
サブアドレス識別 |
| WAN側物理インターフェース |
bri0 |
bri0 |
| PPPユーザー名 |
AAA |
BBB |
| PPPパスワード |
PasswordA |
PasswordB |
| PPP認証方式 |
CHAP |
CHAP |
| マルチリンクPPP(MP) |
使用しない |
使用しない |
| WAN側(ppp0)IPアドレス |
192.168.100.1/24 |
192.168.100.2/24 |
| LAN側(eth0)IPアドレス |
192.168.10.1/24 |
192.168.20.1/24 |
IPフィルターは、原則としてすべての通信を拒否する「デフォルト拒否」の設定とし、以下の通信だけを許可するよう設定します。
- ホストA:TelnetでUNIXサーバー(192.168.10.2)へアクセスしたい。
- ホストB:TelnetとFTPでUNIXサーバーへアクセスしたい。
- ホストC:FTPでUNIXサーバーへアクセスしたい。
- 接続先情報(ISDNコール)を定義します。ここではコール名を「TOOS」とし、接続先番号として「0612342222」を指定しています。「PRECEDENCE=OUT」は、ルーターBと同時に通信が発生した場合に、発呼を優先するよう指示するものです。また、「INTREQ=bri0」により、発呼に使用する物理インターフェースとしてbri0を指定します。
ADD ISDN CALL=TOOS NUMBER=0612342222 PRECEDENCE=OUT INTREQ=bri0 ↓
- サブアドレスを設定します。「OUTSUB=LOCAL」により、自分のコール名(TOOS)をサブアドレスとして相手側に送信するよう指示します。また、「SEARCHSUB=LOCAL」により、自分のコール名と同じサブアドレスの着信呼にのみ応答するよう設定します。
SET ISDN CALL=TOOS OUTSUB=LOCAL SEARCHSUB=LOCAL ↓
- ISDNコール「TOOS」上にPPPインターフェース「0」を作成します。また、「IDLE=ON」により、必要に応じて自動発呼するダイヤルオンデマンド機能を有効にします。
CREATE PPP=0 OVER=ISDN-TOOS IDLE=ON ↓
- 接続相手(ルーターB)のPPPユーザー名とパスワードをユーザー認証データベースに登録します。これは、PPPのネゴシエーションで相手を認証するためのものです。
ADD USER=BBB PASSWORD=PasswordB LOGIN=NO ↓
- 自分のPPPユーザー名とパスワードを設定します。これは、PPPのネゴシエーションで相手から認証を受けるためのものです。
SET PPP=0 USER=AAA PASSWORD=PasswordA ↓
- PPP認証方式(相手を認証するときの方式)をCHAPに設定します。
SET PPP=0 OVER=ISDN-TOOS AUTHENTICATION=CHAP ↓
- IPモジュールを有効にします。
- LAN側(eth0)インターフェースにIPアドレスを設定します。
ADD IP INT=eth0 IP=192.168.10.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにIPアドレスを設定します。
ADD IP INT=ppp0 IP=192.168.100.1 MASK=255.255.255.0 ↓
- 経路情報を設定します。
ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INT=ppp0 NEXTHOP=192.168.100.2 ↓
- WAN側(ppp0)インターフェースに適用するIPフィルター「1」の設定を行います。
なお、IPフィルターの設定ではコマンドラインが長くなりがちなので、適宜省略形を用いてください。この例でも省略形を用いています。
- ホストAからUNIXサーバーのTelnetポートへ送られるパケットは通過させます。
ADD IP FILT=1 SO=192.168.20.4 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=1 DPORT=TELNET PROT=TCP SESS=ANY ↓
- ホストBからUNIXサーバーへのFTPデータパケットは通過させます(FTPでは、コントロール用とデータ用に2本のTCPセッションを張ります)。
ADD IP FILT=1 SO=192.168.20.5 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=2 DPORT=FTPDATA PROT=TCP SESS=ESTABLISHED ↓
- ホストBからUNIXサーバーへのFTPコントロールパケットは通過させます。
ADD IP FILT=1 SO=192.168.20.5 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=3 DPORT=FTP PROT=TCP SESS=ANY ↓
- ホストBからUNIXサーバーへのTelnetパケットは通過させます。
ADD IP FILT=1 SO=192.168.20.5 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=4 DPORT=TELNET PROT=TCP SESS=ANY ↓
- ホストCからUNIXサーバーへのFTPデータパケットは通過させます。
ADD IP FILT=1 SO=192.168.20.6 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=5 DPORT=FTPDATA PROT=TCP SESS=ESTABLISHED ↓
- ホストCからUNIXサーバーへのFTPコントロールパケットは通過させます。
ADD IP FILT=1 SO=192.168.20.6 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=6 DPORT=FTP PROT=TCP SESS=ANY ↓
Note
- IPフィルターのデフォルト動作は「すべて拒否(EXCLUDE)」です。すなわち、明示的に指定した条件にマッチしなかったパケットはすべて破棄されます。この例では、上で設定したホストA、B、CからUNIXサーバーのTELNET、FTPポートへの通信以外はすべて拒否されます。
- LAN側(eth0)インターフェースに適用するIPフィルター「2」の設定を行います。
- UNIXサーバーのTelnetポートからホストAへのパケットは通過させます。
ADD IP FILT=2 SO=192.168.10.2 SM=255.255.255.255 DEST=192.168.20.4 DM=255.255.255.255 PROT=TCP AC=INCLUDE ↓
SET IP FILT=2 ENTRY=1 SPORT=TELNET SESS=ESTABLISHED ↓
- UNIXサーバーのTelnetポートからホストBへのパケットは通過させます。
ADD IP FILT=2 SO=192.168.10.2 SM=255.255.255.255 DEST=192.168.20.5 DM=255.255.255.255 PROT=TCP AC=INCLUDE ↓
SET IP FILT=2 ENTRY=2 SPORT=TELNET SESS=ESTABLISHED ↓
- UNIXサーバーのFTPデータコネクション用ポートからホストBへのパケットは通過させます。
ADD IP FILT=2 SO=192.168.10.2 SM=255.255.255.255 DEST=192.168.20.5 DM=255.255.255.255 PROT=TCP AC=INCLUDE ↓
SET IP FILT=2 ENTRY=3 SPORT=FTPDATA SESS=ANY ↓
- UNIXサーバーのFTPコントロールコネクション用ポートからホストBへのパケットは通過させます。
ADD IP FILT=2 SO=192.168.10.2 SM=255.255.255.255 DEST=192.168.20.5 DM=255.255.255.255 PROT=TCP AC=INCLUDE ↓
SET IP FILT=2 ENTRY=4 SPORT=FTP SESS=ESTABLISHED ↓
- UNIXサーバーのFTPデータコネクション用ポートからホストCへのパケットは通過させます。
ADD IP FILT=2 SO=192.168.10.2 SM=255.255.255.255 DEST=192.168.20.6 DM=255.255.255.255 PROT=TCP AC=INCLUDE ↓
SET IP FILT=2 ENTRY=5 SPORT=FTPDATA SESS=ANY ↓
- UNIXサーバーのFTPコントロールコネクション用ポートからホストCへのパケットは通過させます。
ADD IP FILT=2 SO=192.168.10.2 SM=255.255.255.255 DEST=192.168.20.6 DM=255.255.255.255 PROT=TCP AC=INCLUDE ↓
SET IP FILT=2 ENTRY=6 SPORT=FTP SESS=ESTABLISHED ↓
Note
- IPフィルターのデフォルト動作は「すべて拒否(EXCLUDE)」です。すなわち、明示的に指定した条件にマッチしなかったパケットはすべて破棄されます。この例では、上で設定したUNIXサーバーのTELNET、FTPポートからホストA、B、Cへの通信以外はすべて拒否されます。
- IPフィルター「1」をWAN側(ppp0)インターフェースに適用します。
- IPフィルター「2」をLAN側(eth0)インターフェースに適用します。
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- 接続先情報(ISDNコール)を定義します。ここではコール名を「TOOS」とし、接続先番号として「0312341111」を指定しています。「PRECEDENCE=IN」は、ルーターAと同時に通信が発生した場合に、着呼を優先するよう指示するものです。また、「INTREQ=bri0」により、発呼に使用する物理インターフェースとしてbri0を指定します。
ADD ISDN CALL=TOOS NUMBER=0312341111 PRECEDENCE=IN INTREQ=bri0 ↓
- サブアドレスを設定します。「OUTSUB=LOCAL」により、自分のコール名(TOOS)をサブアドレスとして相手側に送信するよう指示します。また、「SEARCHSUB=LOCAL」により、自分のコール名と同じサブアドレスの着信呼にのみ応答するよう設定します。
SET ISDN CALL=TOOS OUTSUB=LOCAL SEARCHSUB=LOCAL ↓
- ISDNコール「TOOS」上にPPPインターフェース「0」を作成します。また、「IDLE=ON」により、必要に応じて自動発呼するダイヤルオンデマンド機能を有効にします。
CREATE PPP=0 OVER=ISDN-TOOS IDLE=ON ↓
- 接続相手(ルーターA)のPPPユーザー名とパスワードをユーザー認証データベースに登録します。これは、PPPのネゴシエーションで相手を認証するためのものです。
ADD USER=AAA PASSWORD=PasswordA LOGIN=NO ↓
- 自分のPPPユーザー名とパスワードを設定します。これは、PPPのネゴシエーションで相手から認証を受けるためのものです。
SET PPP=0 USER=BBB PASSWORD=PasswordB ↓
- PPP認証方式(相手を認証するときの方式)をCHAPに設定します。
SET PPP=0 OVER=ISDN-TOOS AUTHENTICATION=CHAP ↓
- IPモジュールを有効にします。
- LAN側(eth0)インターフェースにIPアドレスを設定します。
ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0 ↓
- WAN側(ppp0)インターフェースにIPアドレスを設定します。
ADD IP INT=ppp0 IP=192.168.100.2 MASK=255.255.255.0 ↓
- 経路情報を設定します。
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INT=ppp0 NEXTHOP=192.168.100.1 ↓
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
■ IPフィルターはパラメーターが多いため、コマンドラインが長くなりがちです。コマンドラインの入力文字数制限によりコマンドを入力できない場合は、省略形を使ったり、コマンドを複数行に分けるなどして対処してください。
また、コマンドパラメーターの詳細についてはコマンドリファレンスをご覧ください。
■ IPフィルターの設定状況を確認するには次のコマンドを使います。
■ どのIPインターフェースにどのIPフィルターが適用されているかを確認するには、次のコマンドを使います。
■ IPインターフェースからIPフィルターを削除するには、SET IP INTERFACEコマンドのFILTERパラメーターにNONEを指定します。IPインターフェースeth0からIPフィルターの適用を取り消すには、次のようにします。
SET IP INT=eth0 FILTER=NONE ↓
■ 現在の設定内容を表示するには、次のコマンドを使います。
ルーターAのコンフィグ
[テキスト版]
ADD ISDN CALL=TOOS NUMBER=0612342222 PRECEDENCE=OUT INTREQ=bri0 ↓
SET ISDN CALL=TOOS OUTSUB=LOCAL SEARCHSUB=LOCAL ↓
CREATE PPP=0 OVER=ISDN-TOOS IDLE=ON ↓
ADD USER=BBB PASSWORD=PasswordB LOGIN=NO ↓
SET PPP=0 USER=AAA PASSWORD=PasswordA ↓
SET PPP=0 OVER=ISDN-TOOS AUTHENTICATION=CHAP ↓
ENABLE IP ↓
ADD IP INT=eth0 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=192.168.100.1 MASK=255.255.255.0 ↓
ADD IP ROUTE=192.168.20.0 MASK=255.255.255.0 INT=ppp0 NEXTHOP=192.168.100.2 ↓
ADD IP FILT=1 SO=192.168.20.4 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=1 DPORT=TELNET PROT=TCP SESS=ANY ↓
ADD IP FILT=1 SO=192.168.20.5 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=2 DPORT=FTPDATA PROT=TCP SESS=ESTABLISHED ↓
ADD IP FILT=1 SO=192.168.20.5 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=3 DPORT=FTP PROT=TCP SESS=ANY ↓
ADD IP FILT=1 SO=192.168.20.5 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=4 DPORT=TELNET PROT=TCP SESS=ANY ↓
ADD IP FILT=1 SO=192.168.20.6 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=5 DPORT=FTPDATA PROT=TCP SESS=ESTABLISHED ↓
ADD IP FILT=1 SO=192.168.20.6 SM=255.255.255.255 DEST=192.168.10.2 DM=255.255.255.255 AC=INCLUDE ↓
SET IP FILT=1 ENTRY=6 DPORT=FTP PROT=TCP SESS=ANY ↓
ADD IP FILT=2 SO=192.168.10.2 SM=255.255.255.255 DEST=192.168.20.4 DM=255.255.255.255 PROT=TCP AC=INCLUDE ↓
SET IP FILT=2 ENTRY=1 SPORT=TELNET SESS=ESTABLISHED ↓
ADD IP FILT=2 SO=192.168.10.2 SM=255.255.255.255 DEST=192.168.20.5 DM=255.255.255.255 PROT=TCP AC=INCLUDE ↓
SET IP FILT=2 ENTRY=2 SPORT=TELNET SESS=ESTABLISHED ↓
ADD IP FILT=2 SO=192.168.10.2 SM=255.255.255.255 DEST=192.168.20.5 DM=255.255.255.255 PROT=TCP AC=INCLUDE ↓
SET IP FILT=2 ENTRY=3 SPORT=FTPDATA SESS=ANY ↓
ADD IP FILT=2 SO=192.168.10.2 SM=255.255.255.255 DEST=192.168.20.5 DM=255.255.255.255 PROT=TCP AC=INCLUDE ↓
SET IP FILT=2 ENTRY=4 SPORT=FTP SESS=ESTABLISHED ↓
ADD IP FILT=2 SO=192.168.10.2 SM=255.255.255.255 DEST=192.168.20.6 DM=255.255.255.255 PROT=TCP AC=INCLUDE ↓
SET IP FILT=2 ENTRY=5 SPORT=FTPDATA SESS=ANY ↓
ADD IP FILT=2 SO=192.168.10.2 SM=255.255.255.255 DEST=192.168.20.6 DM=255.255.255.255 PROT=TCP AC=INCLUDE ↓
SET IP FILT=2 ENTRY=6 SPORT=FTP SESS=ESTABLISHED ↓
SET IP INT=ppp0 FILT=1 ↓
SET IP INT=eth0 FILT=2 ↓
|
ルーターBのコンフィグ
[テキスト版]
ADD ISDN CALL=TOOS NUMBER=0312341111 PRECEDENCE=IN INTREQ=bri0 ↓
SET ISDN CALL=TOOS OUTSUB=LOCAL SEARCHSUB=LOCAL ↓
CREATE PPP=0 OVER=ISDN-TOOS IDLE=ON ↓
ADD USER=AAA PASSWORD=PasswordA LOGIN=NO ↓
SET PPP=0 USER=BBB PASSWORD=PasswordB ↓
SET PPP=0 OVER=ISDN-TOOS AUTHENTICATION=CHAP ↓
ENABLE IP ↓
ADD IP INT=eth0 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=ppp0 IP=192.168.100.2 MASK=255.255.255.0 ↓
ADD IP ROUTE=192.168.10.0 MASK=255.255.255.0 INT=ppp0 NEXTHOP=192.168.100.1 ↓
|
CentreCOM AR300/AR700 シリーズ 設定例集 2.3 #67
Copyright (C) 1997-2003 アライドテレシス株式会社
PN: J613-M0507-00 Rev.G
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))