- ベストアンサー
アライドテレシス8724SLについて
http://bicniws.okweb.jp/kotaeru.php3?q=1413494 で質問した者です。 外部への通信がうまくいったと思ったのですが、 外部のftpサーバーへのアクセスが出来なくなりました。 webを見るには大丈夫なんですが。 よろしくお願いいたします。
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
ん?では、違う話ということで考えますね。 >VLANを組むにはサーバーのIPアドレス等を変えないといけないですよね? ビンゴです。 今回、以下の条件でフィルタする場合には、 > ARP を通す > ・100.100.100.0 から100.100.100.10 への接続は許可(それ以外は不可) > ・100.100.100.10 からはすべてホストに通信可 > にするのが目的です。 次のような設定になります。 ADD SWITCH L3FILTER MATCH=type ty=ethii ADD SWITCH L3FILTER=1 entry ty=806 action=nodrop ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=HOST ADD SWITCH L3FILTER=2 ENTRY SIPADDR=100.100.100.10 ACTION=NODROP ADD SWITCH L3FILTER MATCH=SIPADDR,DIPADDR,PROTOCOL,TCPACK,TCPSYN SCLASS=C nomatchaction=deny DCLASS=HOST ADD SWITCH L3FILTER=3 ENTRY SIPADDR=100.100.100.0 DIPADDR=100.100.100.10 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=NODROP フィルタ1 で、ARP を通します。 フィルタ2 で、100.100.100.10 からの通信を通します。 フィルタ3 で、100.100.100.0/24 から100.100.100.10 へのSYN を通します。 しかしこれだけでは、 100.100.100.0/24 から100.100.100.10 へのACK が通らないため、 100.100.100.0/24 から100.100.100.10 への接続はできません。 よって、以下のフィルタも追加で必要です。 ADD SWITCH L3FILTER=3 ENTRY SIPADDR=100.100.100.0 DIPADDR=100.100.100.10 PROTOCOL=TCP TCPSYN=FALSE TCPACK=TRUE ACTION=NODROP ご存知だと思いますが、HOST1 からHOST2 に TCP でセッションを確立する場合、 以下のフローをたどります。 HOST1----->HOST2 ---(SYN)--> <--(SYN/ACK)--- ---(ACK)--> 多分これで動くと思いますが、RST パケットを通すのかが、 疑問です。。。 FIN は、ACK を許可しているのでおそらく通すとおもいます。 検証していないので、確証は持てないですが、、、。 余談ですが、、、 コマンドリファレンスに、TCPSYN またはTCPACK を設定で、 以下のような記載がありました。 ”EPORTパラメーターとは併用しないこと。” http://www.allied-telesis.co.jp/support/list/switch/8724sl/m001901c/ADD_SWITCH_L3FILTER_ENTRY.html
その他の回答 (3)
- kuma-ku
- ベストアンサー率54% (1558/2845)
> ARP を通す > ・100.100.100.0 から100.100.100.10 への接続は許可(それ以外は不可) > ・100.100.100.10 からはすべてホストに通信可 > にするのが目的です。 あれ?当初と目的が違うような気がしますが、、、。 ”100.100.100.0 から100.100.100.10 への接続は許可” してしまって宜しいんでしょうか? 以上の条件であれば、 ・NW[100.100.100.0/24]内の通信は可能 ・その他のNW から[100.100.100.10]への通信は不可 と言う事になり、 VLAN の設定だけで事足りるのですが。。。
お礼
ありがとうございます。すいません。説明不足でした。 サーバーの種類によって、フィルタリングの設定が変わるのです。最初の目的のサーバーもあれば、今回の目的のサーバーもあります。VLANを組むにはサーバーのIPアドレス等を変えないといけないですよね?サーバーが20台ありIPアドレスの振り方も規則性がないのです。ということでてっとりばやく、ハードウェアIPフィルタリングをしたいと思ったのですが。よろしくお願いいたします。
- kuma-ku
- ベストアンサー率54% (1558/2845)
なんかしっくり来ないです。。。 ”show switch l3filter=1 entry” のコマンドで、現状のフィルタ条件を確認してみてください。 ADD SWITCH L3FILTER MATCH=SIPADDR sclass=host dclass=host 【nomatchaction=deny】 EMPORT=TRUE ADD SWITCH L3FILTER=1 ENTRY DIPADDR=100.100.100.10 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY 恐らく、【nomatchaction=deny】が悪さをしていると考えます。 Allied のハードウェアL3 フィルタは、 ”ADD SWITCH L3FILTER=番号 ENTRY ”でフィルタの内容を定義しますが、 フィルタの番号が同じであると、同じマッチングを探します。 違う番号の場合、別々のフィルタと認識します。 よって、フィルタの条件を変更しない場合は同じ番号でOK ですが、 条件を変更する場合は、番号も変更してください。 □設定例 192.168.10.0/24からのパケットは原則拒否だが、192.168.10.103からのパケットだけは許可 ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=C ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 ACTION=DENY ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=HOST ADD SWITCH L3FILTER=2 ENTRY SIPADDR=192.168.10.103 ACTION=NODROP 今回の設定では ・ARP を通す ・100.100.100.0 から100.100.100.10 への接続を禁止する ・100.100.100.10 から100.100.100.0 への通信は通す と言うことであれば、 ADD SWITCH L3FILTER MATCH=SIPADDR,DIPADDR,PROTOCOL,TCPACK,TCPSYN SCLASS=C DCLASS=HOST EMPORT=TRUE ADD SWITCH L3FILTER=1 ENTRY SIPADDR=100.100.100.0 DIPADDR=100.100.100.10 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE EPORT=10 ACTION=DENY これだけでいけると思います。。。
お礼
すいません。記述が間違っておりました。 filter =1 ADD SWITCH L3FILTER MATCH=type ty=ethii ADD SWITCH L3FILTER=1 entry ty=806 action=nodrop filter=2 ADD SWITCH L3FILTER MATCH=SIPADDR sclass=host dclass=host nomatchaction=deny EMPORT=TRUE ADD SWITCH L3FILTER=2 ENTRY DIPADDR=100.100.100.10 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY filter=3 ADD SWITCH L3FILTER MATCH=SIPADDR, sclass=C EMPORT=TRUE add switch l3filter=3 entry sipaddr=100.100.100.0 eport=10 action=nodrop 実際は ARP を通す ・100.100.100.0 から100.100.100.10 への接続は許可(それ以外は不可) ・100.100.100.10 からはすべてホストに通信可 にするのが目的です。申し訳ありませんが、よろしくお願いいたします。
- kuma-ku
- ベストアンサー率54% (1558/2845)
こんにちは 再びお邪魔いたします。 前回の設定では、FTP Server への接続は上手くいくはずですが、 接続すらNG でしょうか? データ送受信や操作がNG の場合は、 PASV モードでの接続を行ってみてください。 また、フィルタ設定に追加した物があれば、 教えてください。
お礼
またまたお世話になります(^^;) Windowsサーバーからは接続可。コマンドを受け付けない状態でした。 ソラリスからは接続不可でした。 windowsのコマンドプロンプトではPASVの設定が出来ないのでPASVモードの接続はしてないです。 また、ソラリスへのtelnet等での接続も不安定になりました。 一応こんな設定をしました。 filter =1 ADD SWITCH L3FILTER MATCH=type ty=ethii ADD SWITCH L3FILTER=1 entry ty=806 action=nodrop filter=2 ADD SWITCH L3FILTER MATCH=SIPADDR sclass=host dclass=host nomatchaction=deny EMPORT=TRUE ADD SWITCH L3FILTER=1 ENTRY DIPADDR=100.100.100.10 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY filter=3 ADD SWITCH L3FILTER MATCH=SIPADDR, sclass=C EMPORT=TRUE add switch l3filter=1 entry sipaddr=100.100.100.0 eport=10 action=nodrop 何か確認しないといけないことがありましたら、ご報告しますのでよろしくお願いいたします。
お礼
今、検証終わりました(^_^;)とりえず、バッチシです。 ほんとにkuma-kuさんにはお世話になりました。また、いろいろとお世話になるかもしれませんが、またまたよろしくお願いいたします。
補足
返事遅れまして申し訳ありません。うちのDBサーバがクラッシュして、スイッチのテストがまだ出来てません。もうしばらくお待ち下さい。