[index] CentreCOM ARX640S コマンドリファレンス 5.0.0

ファイアウォール / IPv6フィルター

  - フィルター処理の流れ
  - IPv6アクセスリストの種類
  - IPv6アクセスリストの作成
   - 標準IPv6アクセスリスト
   - 拡張IPv6アクセスリスト
  - IPv6アクセスリストの適用
  - 設定例
   - ファイアウォール（基本設定）
   - ファイアウォール（基本設定＋内部サービスへのアクセスを許可）
  - 他機能との関係（パケット処理順序）

• 標準IPv6アクセスリスト（始点IPv6アドレスだけを指定できる）
  
• 拡張IPv6アクセスリスト（始点・終点IPv6アドレスを始め、各種フィールド値や動作オプションを指定できる）
  

*Router(config)# access-list ipv6 standard default_deny ↓ *Router(config-acl-ipv6)# permit 2001:1:1:10::/64 ↓ *Router(config-acl-ipv6)# permit host 2001:1:1:20::2 ↓

*Router(config)# access-list ipv6 standard default_allow ↓ *Router(config-acl-ipv6)# deny 3ffe:10:10::/48 ↓ *Router(config-acl-ipv6)# permit any ↓

*Router(config)# access-list ipv6 extended server_only ↓ *Router(config-acl-ipv6-ext)# dynamic permit tcp any host 2001:1:1:10::2 eq 25 ↓ *Router(config-acl-ipv6-ext)# dynamic permit udp any host 2001:1:1:10::5 eq 53 ↓ *Router(config-acl-ipv6-ext)# dynamic permit tcp any host 2001:1:1:10::8 eq 80 ↓

*Router(config)# access-list ipv6 extended deny10to20 ↓ *Router(config-acl-ipv6-ext)# deny ipv6 2001:1:1:10::/24 2001:1:1:20::/64 ↓ *Router(config-acl-ipv6-ext)# dynamic permit ipv6 any any ↓

*Router(config)# interface gigabitEthernet 0 ↓ *Router(config-if)# ipv6 traffic-filter wan6_in in ↓ *Router(config-if)# ipv6 traffic-filter wan6_out out ↓

Note - 存在しないアクセスリストをインターフェースに適用すると、すべてのパケットが拒否されるので注意してください。

*Router(config)# interface gigabitEthernet 0 ↓ *Router(config-if)# no ipv6 traffic-filter wan6_in in ↓ *Router(config-if)# no ipv6 traffic-filter wan6_out out ↓

• LAN側からインターネット側への通信はすべて許可
  
• インターネット側からLAN側への通信はすべて拒否
  

1. インターネット側からLAN側への通信をすべて拒否する拡張IPv6アクセスリスト「wan6_in」を作成します。
   アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、具体的なエントリーは作成していません。
   

   *Router(config)# access-list ipv6 extended wan6_in ↓ *Router(config-acl-ipv6-ext)# exit ↓

   
   
2. LAN側からインターネット側への通信をすべて許可する拡張IPv6アクセスリスト「wan6_out」を作成します。
   すべてを許可する「permit ipv6 any any」のエントリーにdynamicキーワードを付加することで、LAN側からの通信開始時に双方向のキャッシュが作成され、インターネット側からの戻りパケットが自動的に許可されるようになります。
   

   *Router(config)# access-list ipv6 extended wan6_out ↓ *Router(config-acl-ipv6-ext)# dynamic permit ipv6 any any ↓ *Router(config-acl-ipv6-ext)# exit ↓

   
   
3. IPv6インターネット接続用のWAN側EthernetインターフェースgigabitEthernet 0にアクセスリストを適用します。
   

   *Router(config)# interface gigabitEthernet 0 ↓ *Router(config-if)# ipv6 traffic-filter wan6_in in ↓ *Router(config-if)# ipv6 traffic-filter wan6_out out ↓

• LAN側からインターネット側への通信はすべて許可
  
• インターネット側からLAN側への通信はすべて拒否。ただし、下記サービス宛ての通信だけは例外的に許可
  
  • LAN側サーバー（2001:1:1:10::8）のSSHサービス（TCPポート22番）
    
  • LAN側サーバー（2001:1:1:10::8）のWebサービス（TCPポート80番）
    

1. インターネット側からLAN側への通信は、サーバー2001:1:1:10::8のTCPポート22番と80番宛てを除き、すべて拒否する拡張IPv6アクセスリスト「wan6_in」を作成します。
   アクセスリストの末尾には暗黙の「すべて拒否」エントリーが存在するため、ここでは許可エントリーだけを指定しています。
   なお、dynamicキーワードは、許可エントリーにマッチするパケットを双方向の「フロー」として捉え、これをキャッシュに登録することで、戻りパケットの自動許可とパフォーマンス向上を実現するオプションの指定です。
   

   *Router(config)# access-list ipv6 extended wan6_in ↓ *Router(config-acl-ipv6-ext)# dynamic permit tcp any host 2001:1:1:10::8 eq 22 ↓ *Router(config-acl-ipv6-ext)# dynamic permit tcp any host 2001:1:1:10::8 eq 80 ↓ *Router(config-acl-ipv6-ext)# exit ↓

   
   
2. LAN側からインターネット側への通信をすべて許可する拡張IPv6アクセスリスト「wan6_out」を作成します。
   すべてを許可する「permit ipv6 any any」のエントリーにdynamicキーワードを付加することで、LAN側からの通信開始時に双方向のキャッシュが作成され、インターネット側からの戻りパケットが自動的に許可されるようになります。
   

   *Router(config)# access-list ipv6 extended wan6_out ↓ *Router(config-acl-ipv6-ext)# dynamic permit ipv6 any any ↓ *Router(config-acl-ipv6-ext)# exit ↓

   
   
3. IPv6インターネット接続用のWAN側EthernetインターフェースgigabitEthernet 0にアクセスリストを適用します。
   

   *Router(config)# interface gigabitEthernet 0 ↓ *Router(config-if)# ipv6 traffic-filter wan6_in in ↓ *Router(config-if)# ipv6 traffic-filter wan6_out out ↓

(C) 2011 アライドテレシスホールディングス株式会社

PN: 613-001491 Rev.A