[index] CentreCOM ARX640S コマンドリファレンス 5.1.5

ファイアウォール / IPv6フィルター


フィルター処理の流れ
IPv6アクセスリストの種類
IPv6アクセスリストの作成
標準IPv6アクセスリスト
拡張IPv6アクセスリスト
IPv6アクセスリストの適用
設定例
ファイアウォール(基本設定)
ファイアウォール(基本設定+内部サービスへのアクセスを許可)
他機能との関係(パケット処理順序)


IPv6フィルターは、インターフェースで送受信するIPv6パケットの内容に基づき、パケットの転送可否を決定する機能です。

IPv6フィルターは、IPv6アクセスリストを作成し、IPインターフェースに適用することで有効になります。

フィルター処理の流れ

IPv6アクセスリストの適用されているインターフェースでIPv6パケットを送受信するとき、送信時なら送信用アクセスリスト、受信時なら受信用アクセスリストの各エントリーをシーケンス番号順にチェックし、最初にマッチしたエントリーで指定された処理(許可・拒否)を実行します。いずれのエントリーにもマッチしなかったパケットは暗黙の「すべて拒否」エントリーによって破棄されます。

IPv6アクセスリストの種類

IPv6アクセスリストには、次の2種類があります。
両者は指定できる条件や動作に差がありますが、基本的な動作や設定方法は同じです。フィルタリングの要件にあわせて使い分けてください。

IPv6アクセスリストの作成

IPv6アクセスリストは複数のエントリーから構成されるリストで、検索はシーケンス番号順に行われます。リスト検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われ、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合は暗黙の「すべて拒否」エントリーによってdenyとなります。

IPv6アクセスリストの作成は、入れ物であるリストの作成と、中身であるエントリーの追加の2段階で行います。

標準IPv6アクセスリスト

標準IPv6アクセスリストは、access-list ipv6 standard(list)コマンドでリストを作成し、access-list ipv6 standard(rule entry)コマンドでエントリーを追加します。

■ 2001:1:1:10::/64と2001:1:1:20::2からのIPv6パケットを許可し、その他を拒否する標準IPv6アクセスリスト「default_deny」を作成するには、次のようにします。

*Router(config)# access-list ipv6 standard default_deny
*Router(config-acl-ipv6)# permit 2001:1:1:10::/64
*Router(config-acl-ipv6)# permit host 2001:1:1:20::2

アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、本例のような「デフォルト拒否」の設定では、拒否エントリーを明示的に書く必要はありません。

■ 3ffe:10:10::/48からのIPv6パケットを拒否し、その他を許可する標準IPv6アクセスリスト「default_allow」を作成するには、次のようにします。

*Router(config)# access-list ipv6 standard default_allow
*Router(config-acl-ipv6)# deny 3ffe:10:10::/48
*Router(config-acl-ipv6)# permit any

アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、本例のような「デフォルト許可」の設定では、リストの末尾に明示的な「すべて許可」エントリーを記述する必要があります。

拡張IPv6アクセスリスト

拡張IPv6アクセスリストは、access-list ipv6 extended(list)コマンドでリストを作成し、access-list ipv6 extended(rule entry)コマンドでエントリーを追加します。

■ 2001:1:1:10::2のTCPポート25番、2001:1:1:10::5のUDPポート53番、2001:1:1:10::8のTCPポート80番へのIPv6パケットだけを許可し、その他を拒否する拡張IPv6アクセスリスト「server_only」を作成するには、次のようにします。

*Router(config)# access-list ipv6 extended server_only
*Router(config-acl-ipv6-ext)# dynamic permit tcp any host 2001:1:1:10::2 eq 25
*Router(config-acl-ipv6-ext)# dynamic permit udp any host 2001:1:1:10::5 eq 53
*Router(config-acl-ipv6-ext)# dynamic permit tcp any host 2001:1:1:10::8 eq 80

dynamicキーワードは、許可エントリーにマッチするパケットを双方向の「フロー」として捉え、これをキャッシュに登録することで、戻りパケットの自動許可とパフォーマンス向上を実現するオプションの指定です。

アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、本例のような「デフォルト拒否」の設定では、拒否エントリーを明示的に書く必要はありません。

■ 2001:1:1:10::/24から2001:1:1:20::/64へのIPv6パケットを拒否し、その他を許可する拡張IPv6アクセスリスト「deny10to20」を作成するには、次のようにします。

*Router(config)# access-list ipv6 extended deny10to20
*Router(config-acl-ipv6-ext)# deny ipv6 2001:1:1:10::/24 2001:1:1:20::/64
*Router(config-acl-ipv6-ext)# dynamic permit ipv6 any any

dynamicキーワードは、許可エントリーにマッチするパケットを双方向の「フロー」として捉え、これをキャッシュに登録することで、戻りパケットの自動許可とパフォーマンス向上を実現するオプションの指定です。

アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、本例のような「デフォルト許可」の設定では、リストの末尾に明示的な「すべて許可」エントリーを記述する必要があります。

IPv6アクセスリストの適用

作成したIPv6アクセスリストは、IPインターフェースに適用することで有効になります。各インターフェースには、受信用と送信用にそれぞれ1つずつIPv6アクセスリストを適用することができます。

■ IPv6アクセスリストをインターフェースに適用するには、ipv6 traffic-filterコマンドを使います。
たとえば、gigabitEthernet 0インターフェースに送信用アクセスリスト「wan6_out」と受信用アクセスリスト「wan6_in」を適用するには、次のようにします。

*Router(config)# interface gigabitEthernet 0
*Router(config-if)# ipv6 traffic-filter wan6_in in
*Router(config-if)# ipv6 traffic-filter wan6_out out

Note - 存在しないアクセスリストをインターフェースに適用すると、すべてのパケットが拒否されるので注意してください。

■ アクセスリストの適用を解除するには、ipv6 traffic-filterコマンドをno形式で実行します。

*Router(config)# interface gigabitEthernet 0
*Router(config-if)# no ipv6 traffic-filter wan6_in in
*Router(config-if)# no ipv6 traffic-filter wan6_out out


設定例

IPv6アクセスリストの具体的な使用例をいくつか示します。

ファイアウォール(基本設定)

IPv6フィルターを利用して、IPv6インターネット接続環境におけるファイアウォールの基本動作を実現する方法を説明します。

ファイアウォールの基本動作とは次のような動作です。

ここでは、WAN側EthernetインターフェースgigabitEthernet 0を使ってIPv6インターネットに接続していると仮定します。
  1. インターネット側からLAN側への通信をすべて拒否する拡張IPv6アクセスリスト「wan6_in」を作成します。
    アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、具体的なエントリーは作成していません。

    *Router(config)# access-list ipv6 extended wan6_in
    *Router(config-acl-ipv6-ext)# exit
    


  2. LAN側からインターネット側への通信をすべて許可する拡張IPv6アクセスリスト「wan6_out」を作成します。
    すべてを許可する「permit ipv6 any any」のエントリーにdynamicキーワードを付加することで、LAN側からの通信開始時に双方向のキャッシュが作成され、インターネット側からの戻りパケットが自動的に許可されるようになります。

    *Router(config)# access-list ipv6 extended wan6_out
    *Router(config-acl-ipv6-ext)# dynamic permit ipv6 any any
    *Router(config-acl-ipv6-ext)# exit
    


  3. IPv6インターネット接続用のWAN側EthernetインターフェースgigabitEthernet 0にアクセスリストを適用します。

    *Router(config)# interface gigabitEthernet 0
    *Router(config-if)# ipv6 traffic-filter wan6_in in
    *Router(config-if)# ipv6 traffic-filter wan6_out out
    

設定は以上です。

これにより、インターネット側からLAN側にはIPv6パケットが転送されなくなります。一方、LAN側からインターネット側への通信は自由に行うことができます。

ファイアウォール(基本設定+内部サービスへのアクセスを許可)

前の「基本設定」にエントリーを追加し、ファイアウォールとしての動作をカスタマイズする例を示します。

ここでは、前述した「ファイアウォールの基本動作」に項目を追加して、次のような動作を実現するものとします。

ここでは、WAN側EthernetインターフェースgigabitEthernet 0を使ってIPv6インターネットに接続していると仮定します。
  1. インターネット側からLAN側への通信は、サーバー2001:1:1:10::8のTCPポート22番と80番宛てを除き、すべて拒否する拡張IPv6アクセスリスト「wan6_in」を作成します。
    アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、ここでは許可エントリーだけを指定しています。
    なお、dynamicキーワードは、許可エントリーにマッチするパケットを双方向の「フロー」として捉え、これをキャッシュに登録することで、戻りパケットの自動許可とパフォーマンス向上を実現するオプションの指定です。

    *Router(config)# access-list ipv6 extended wan6_in
    *Router(config-acl-ipv6-ext)# dynamic permit tcp any host 2001:1:1:10::8 eq 22
    *Router(config-acl-ipv6-ext)# dynamic permit tcp any host 2001:1:1:10::8 eq 80
    *Router(config-acl-ipv6-ext)# exit
    


  2. LAN側からインターネット側への通信をすべて許可する拡張IPv6アクセスリスト「wan6_out」を作成します。
    すべてを許可する「permit ipv6 any any」のエントリーにdynamicキーワードを付加することで、LAN側からの通信開始時に双方向のキャッシュが作成され、インターネット側からの戻りパケットが自動的に許可されるようになります。

    *Router(config)# access-list ipv6 extended wan6_out
    *Router(config-acl-ipv6-ext)# dynamic permit ipv6 any any
    *Router(config-acl-ipv6-ext)# exit
    


  3. IPv6インターネット接続用のWAN側EthernetインターフェースgigabitEthernet 0にアクセスリストを適用します。

    *Router(config)# interface gigabitEthernet 0
    *Router(config-if)# ipv6 traffic-filter wan6_in in
    *Router(config-if)# ipv6 traffic-filter wan6_out out
    

設定は以上です。

これにより、インターネット側からLAN側には、SSH、Webサービス宛てのものを除いて、IPv6パケットが転送されなくなります。一方、LAN側からインターネット側への通信は自由に行うことができます。

他機能との関係(パケット処理順序)

パケット転送処理(ブリッジング、ルーティング)や各種フィルタリング機能を含む、パケット処理順序の詳細については、「付録」の「パケット処理フロー」をご参照ください。


(C) 2011 - 2014 アライドテレシスホールディングス株式会社

PN: 613-001491 Rev.E