[index] CentreCOM ARX640S コマンドリファレンス 5.1.5

ファイアウォール / IPフィルター

フィルター処理の流れ
IPアクセスリストの種類
IPアクセスリストの作成
標準IPアクセスリスト
拡張IPアクセスリスト
IPアクセスリストの適用
設定例
ファイアウォール(基本設定)
ファイアウォール(基本設定+内部サービスへのアクセスを許可)
他機能との関係(パケット処理順序)

IPフィルターは、インターフェースで送受信するIPパケットの内容に基づき、パケットの転送可否を決定する機能です。

IPフィルターは、IPアクセスリストを作成し、IPインターフェースに適用することで有効になります。

フィルター処理の流れ

 IPアクセスリストの適用されているインターフェースでIPパケットを送受信するとき、送信時なら送信用アクセスリスト、受信時なら受信用アクセスリストの各エントリーをシーケンス番号順にチェックし、最初にマッチしたエントリーで指定された処理(許可・拒否)を実行します。いずれのエントリーにもマッチしなかったパケットは暗黙の「すべて拒否」エントリーによって破棄されます。

IPアクセスリストの種類

 IPアクセスリストには、次の2種類があります。
両者は指定できる条件や動作に差がありますが、基本的な動作や設定方法は同じです。フィルタリングの要件にあわせて使い分けてください。

IPアクセスリストの作成

 IPアクセスリストは複数のエントリーから構成されるリストで、検索はシーケンス番号順に行われます。リスト検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われ、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合は暗黙の「すべて拒否」エントリーによってdenyとなります。

IPアクセスリストの作成は、入れ物であるリストの作成と、中身であるエントリーの追加の2段階で行います。

標準IPアクセスリスト

 標準IPアクセスリストは、access-list ip standard(list)コマンドでリストを作成し、access-list ip standard(rule entry)コマンドでエントリーを追加します。

■ 192.168.10.0/24と192.168.20.2からのIPパケットを許可し、その他を拒否する標準IPアクセスリスト「default_deny」を作成するには、次のようにします。

*Router(config)# access-list ip standard default_deny
*Router(config-acl-ip)# permit 192.168.10.0/24
*Router(config-acl-ip)# permit host 192.168.20.2

アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、本例のような「デフォルト拒否」の設定では、拒否エントリーを明示的に書く必要はありません。

■ 10.0.0.0/8からのIPパケットを拒否し、その他を許可する標準IPアクセスリスト「default_allow」を作成するには、次のようにします。

*Router(config)# access-list ip standard default_allow
*Router(config-acl-ip)# deny 10.0.0.0/8
*Router(config-acl-ip)# permit any

アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、本例のような「デフォルト許可」の設定では、リストの末尾に明示的な「すべて許可」エントリーを記述する必要があります。

拡張IPアクセスリスト

 拡張IPアクセスリストは、access-list ip extended(list)コマンドでリストを作成し、access-list ip extended(rule entry)コマンドでエントリーを追加します。

■ 192.168.10.2のTCPポート25番、192.168.10.5のUDPポート53番、192.168.10.8のTCPポート80番へのIPパケットだけを許可し、その他を拒否する拡張IPアクセスリスト「server_only」を作成するには、次のようにします。

*Router(config)# access-list ip extended server_only
*Router(config-acl-ip-ext)# dynamic permit tcp any host 192.168.10.2 eq 25
*Router(config-acl-ip-ext)# dynamic permit udp any host 192.168.10.5 eq 53
*Router(config-acl-ip-ext)# dynamic permit tcp any host 192.168.10.8 eq 80

dynamicキーワードは、許可エントリーにマッチするパケットを双方向の「フロー」として捉え、これをキャッシュに登録することで、戻りパケットの自動許可とパフォーマンス向上を実現するオプションの指定です。

アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、本例のような「デフォルト拒否」の設定では、拒否エントリーを明示的に書く必要はありません。

■ 192.168.10.0/24から192.168.20.0/24へのIPパケットを拒否し、その他を許可する拡張IPアクセスリスト「deny10to20」を作成するには、次のようにします。

*Router(config)# access-list ip extended deny10to20
*Router(config-acl-ip-ext)# deny ip 192.168.10.0/24 192.168.20.0/24
*Router(config-acl-ip-ext)# dynamic permit ip any any

dynamicキーワードは、許可エントリーにマッチするパケットを双方向の「フロー」として捉え、これをキャッシュに登録することで、戻りパケットの自動許可とパフォーマンス向上を実現するオプションの指定です。

アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、本例のような「デフォルト許可」の設定では、リストの末尾に明示的な「すべて許可」エントリーを記述する必要があります。

IPアクセスリストの適用

 作成したIPアクセスリストは、IPインターフェースに適用することで有効になります。各インターフェースには、受信用と送信用にそれぞれ1つずつIPアクセスリストを適用することができます。

■ IPアクセスリストをインターフェースに適用するには、ip traffic-filterコマンドを使います。
たとえば、gigabitEthernet 0.1インターフェースに送信用アクセスリスト「wan_out」と受信用アクセスリスト「wan_in」を適用するには、次のようにします。

*Router(config)# interface gigabitEthernet 0.1
*Router(config-pppoe-if)# ip traffic-filter wan_in in
*Router(config-pppoe-if)# ip traffic-filter wan_out out

Note - 存在しないアクセスリストをインターフェースに適用すると、すべてのパケットが拒否されるので注意してください。

■ アクセスリストの適用を解除するには、ip traffic-filterコマンドをno形式で実行します。

*Router(config)# interface gigabitEthernet 0.1
*Router(config-pppoe-if)# no ip traffic-filter wan_in in
*Router(config-pppoe-if)# no ip traffic-filter wan_out out


設定例

 IPアクセスリストの具体的な使用例をいくつか示します。

ファイアウォール(基本設定)

 IPフィルターを利用して、インターネット接続環境におけるファイアウォールの基本動作を実現する方法を説明します。

ファイアウォールの基本動作とは次のような動作です。

ここでは、PPPoEインターフェースgigabitEthernet 0.1を使ってインターネットに接続していると仮定します。
  1. インターネット側からLAN側への通信をすべて拒否する拡張IPアクセスリスト「wan_in」を作成します。
    アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、具体的なエントリーは作成していません。

    *Router(config)# access-list ip extended wan_in
*Router(config-acl-ip-ext)# exit


  2. LAN側からインターネット側への通信をすべて許可する拡張IPアクセスリスト「wan_out」を作成します。
    すべてを許可する「permit ip any any」のエントリーにdynamicキーワードを付加することで、LAN側からの通信開始時に双方向のキャッシュが作成され、インターネット側からの戻りパケットが自動的に許可されるようになります。

    *Router(config)# access-list ip extended wan_out
*Router(config-acl-ip-ext)# dynamic permit ip any any
*Router(config-acl-ip-ext)# exit


  3. インターネット接続用のPPPoEインターフェースgigabitEthernet 0.1にアクセスリストを適用します。

    *Router(config)# interface gigabitEthernet 0.1
*Router(config-pppoe-if)# ip traffic-filter wan_in in
*Router(config-pppoe-if)# ip traffic-filter wan_out out

設定は以上です。

これにより、インターネット側からLAN側にはIPパケットが転送されなくなります。一方、LAN側からインターネット側への通信は自由に行うことができます。

ファイアウォール(基本設定+内部サービスへのアクセスを許可)

 前の「基本設定」にエントリーを追加し、ファイアウォールとしての動作をカスタマイズする例を示します。

ここでは、前述した「ファイアウォールの基本動作」に項目を追加して、次のような動作を実現するものとします。

ここでは、PPPoEインターフェースgigabitEthernet 0.1を使ってインターネットに接続していると仮定します。
  1. インターネット側からLAN側への通信は、サーバー192.168.10.8のTCPポート22番と80番宛てを除き、すべて拒否する拡張IPアクセスリスト「wan_in」を作成します。
    アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、ここでは許可エントリーだけを指定しています。
    なお、dynamicキーワードは、許可エントリーにマッチするパケットを双方向の「フロー」として捉え、これをキャッシュに登録することで、戻りパケットの自動許可とパフォーマンス向上を実現するオプションの指定です。

    *Router(config)# access-list ip extended wan_in
*Router(config-acl-ip-ext)# dynamic permit tcp any host 192.168.10.8 eq 22
*Router(config-acl-ip-ext)# dynamic permit tcp any host 192.168.10.8 eq 80
*Router(config-acl-ip-ext)# exit


  2. LAN側からインターネット側への通信をすべて許可する拡張IPアクセスリスト「wan_out」を作成します。
    すべてを許可する「permit ip any any」のエントリーにdynamicキーワードを付加することで、LAN側からの通信開始時に双方向のキャッシュが作成され、インターネット側からの戻りパケットが自動的に許可されるようになります。

    *Router(config)# access-list ip extended wan_out
*Router(config-acl-ip-ext)# dynamic permit ip any any
*Router(config-acl-ip-ext)# exit


  3. インターネット接続用のPPPoEインターフェースgigabitEthernet 0.1にアクセスリストを適用します。

    *Router(config)# interface gigabitEthernet 0.1
*Router(config-pppoe-if)# ip traffic-filter wan_in in
*Router(config-pppoe-if)# ip traffic-filter wan_out out

設定は以上です。

これにより、インターネット側からLAN側には、SSH、Webサービス宛てのものを除いて、IPパケットが転送されなくなります。一方、LAN側からインターネット側への通信は自由に行うことができます。

他機能との関係(パケット処理順序)

 パケット転送処理(ブリッジング、ルーティング)や各種フィルタリング機能を含む、パケット処理順序の詳細については、「付録」の「パケット処理フロー」をご参照ください。

(C) 2011 - 2014 アライドテレシスホールディングス株式会社

PN: 613-001491 Rev.E