- ベストアンサー
RTX1200でのセグメント間のフィルターについて
- RTX1200のconfigでip filterのかけ方を教えてください。
- または、AグループとBグループ間の通信を遮断し、AグループのサーバーのみBグループからアクセスできるようにする方法を教えてください。
- さらに、AグループもBグループもインターネットへのアクセスはプロキシサーバーを経由するようにしたいです。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
どもども。hirasaku です。 なるほど。 となると、もうちょい細工が必要ですかね。 勝手な想像ですけど、LAN3にはVLAN切ったL2がいるんですよね。 で、1ポートをトランクにして接続しているって感じですか。 ip lan2 nat descriptor XX nat descriptor type XX masquerade nat descriptor address outer XX LAN2のグローバル nat descriptor address inner XX 192.168.10.1-192.168.10.254 192.168.20.1-192.168.20.254 にして VLAN間制御として 厳密にWWWとWindowsファイル共有だけを制御したいのなら ip lan3/1 address 192.168.10.xxx/24 ip filter 1001 pass 192.168.10.10 192.168.20.0/24 tcp 80 * ip filter 1002 pass 192.168.10.10 192.168.20.0/24 tcp,udp 135 * ip filter 1003 pass 192.168.10.10 192.168.20.0/24 tcp,udp 137-139 * ip filter 1004 pass 192.168.10.10 192.168.20.0/24 tcp,udp 445 * ip filter 1005 reject * 192.168.20.0/24 * * * ip lan3/1 secure filter in 1001 1002 1003 1004 1005 9000 ip lan3/2 address 192.168.20.xxx/24 ip filter 2001 pass * 192.168.10.10 tcp * 80 ip filter 2002 pass * 192.168.10.10 tcp,udp * 135 ip filter 2003 pass * 192.168.10.10 tcp,udp * 137-139 ip filter 2004 pass * 192.168.10.10 tcp,udp * 445 ip filter 2005 reject * 192.168.10.0/24 * * * ip lan3/2 secure filter in 2001 2002 2003 2004 2005 9000 ip filter 9000 pass * * * * * WAN側の制御 ip filter 101 reject 192.168.0.0/16 * * * * ip filter 102 pass * 192.168.0.0/16 icmp * * ip filter 201 reject 192.168.0.0/16 * tcp,udp * 135 ip filter 202 reject 192.168.0.0/16 * tcp,udp * 137-139 ip filter 203 reject 192.168.0.0/16 * tcp,udp * 445 ip filter 204 reject 192.168.0.0/16 * tcp,udp 135 * ip filter 205 reject 192.168.0.0/16 * tcp,udp 137-139 * ip filter 206 reject 192.168.0.0/16 * tcp,udp 445 * ip filter 301 pass 192.168.10.10 * tcp * 80 ip filter 302 reject 192.168.0.0/16 * tcp * 80 ip filter dynamic 1 192.168.10.10 * www ip filter dynamic 2 * * domain ip filter dynamic 3 * * ftp ip filter dynamic 4 * * smtp ip filter dynamic 5 * * pop3 ip filter dynamic 6 * * tcp ip filter dynamic 7 * * udp ip lan2 secure filter in 101 102 ip lan2 secure filter out 201 202 203 204 205 206 301 302 9000 dynamic 1 2 3 4 5 6 7 という感じですかね。 確認してないんで、動作はチェックしてください。 では。
その他の回答 (2)
- hirasaku
- ベストアンサー率65% (106/163)
ども。hirasaku です。 補足見ました。 >同時に「AグループからBグループへのアクセスも遮断」されたのですが、 >これはそういうものなのでしょうか。 結果そのような動きになっています。 AからBには実際パケットは行ってます。 しかし、BからAに戻るときにFilter1002で引っかかり戻れないということです。 厳密に制御したいのなら、lan3/1 側にもFilterをかけないといけません。 >インターネットへの接続はプロキシサーバー経由のみ通したいと思いますので、 >WAN側のLAN2に対してフィルタをかければいい、ということでしょうか。 なんのプロキシなのかわからないんですけど。WWWですかね? インターネット接続は PPPoE ですよね? pp select があると思いますけど、そこにFilterをかける形ですね。 お決まりだと、 ip pp secure filter in と ip pp secure filter out があると仮定して、 Filterは ip filter 101 reject 192.168.0.0/16 * * * * ip filter 102 pass * 192.168.0.0/16 icmp * * ip filter 201 reject 192.168.0.0/16 * tcp,udp * 135 ip filter 202 reject 192.168.0.0/16 * tcp,udp * 137-139 ip filter 203 reject 192.168.0.0/16 * tcp,udp * 445 ip filter 204 reject 192.168.0.0/16 * tcp,udp 135 * ip filter 205 reject 192.168.0.0/16 * tcp,udp 137-139 * ip filter 206 reject 192.168.0.0/16 * tcp,udp 445 * ip filter 301 pass 192.168.10.10 * tcp * 80 ip filter 302 reject 192.168.0.0/16 * tcp * 80 ip filter 401 pass * * * * * ip filter dynamic 1 192.168.10.10 * www ip filter dynamic 2 * * domain ip filter dynamic 3 * * ftp ip filter dynamic 4 * * smtp ip filter dynamic 5 * * pop3 ip filter dynamic 6 * * tcp ip filter dynamic 7 * * udp ip pp secure filter in 101 102 ip pp secure filter out 201 202 203 204 205 206 301 302 401 dynamic 1 2 3 4 5 6 7 って具合ですか。 プロキシがWWW以外もやってるなら、そのポートを追加指定すればいいかと。 では。
補足
hirasaku様 ご回答ありがとうございます。 > 結果そのような動きになっています。 > AからBには実際パケットは行ってます。 > しかし、BからAに戻るときにFilter1002で引っかかり戻れない > ということです。 > 厳密に制御したいのなら、lan3/1 側にもFilterをかけないといけません。 結果オーライだったのですが、どうしてそうなるのか疑問でした。 なるほど、そういうことですね。納得しました。 仕事で使うネットワークなので、念のため lan3/1 側にもフィルターをかけておきたいと思います。 > なんのプロキシなのかわからないんですけど。WWWですかね? > インターネット接続は PPPoE ですよね? > pp select があると思いますけど、そこにFilterをかける形ですね。 こちらのアドバイスもありがとうございます。とても参考になりました。 実はインターネットへ出る LAN2(WAN側) は PPPoE ではなく、CATVのネットワークと接続しており、固定IPがふってあります。 プロキシを必ず通したいのはWWWです。 つまりこのインターネット接続についてまとめると、 ・192.168.10.0/24と192.168.20.0/24というネットワークがある ・インターネットの接続 (WWW)はルータのLAN2(WAN側)が固定IPのプロバイダと接続されている。 ・192.168.10.10 にプロキシサーバーがあり、WWWのアクセスは全員ここを通さなければつながらないように、フィルタをかけたい。 ・POPやSMTPは、プロキシを通さず直接LAN2に出てくれても、かまわない。 ということです。 ご回答いただいたサンプルを基に考えてみます。アドバイスいただけることがありましたら、ご教授いただけると幸いです。
- hirasaku
- ベストアンサー率65% (106/163)
こんにちは。hirasaku です。 もう少し細かなところがしりたいのですが・・・ 細かいところを気にしないのなら ip lan3/1 address 192.168.10.xxx/24 ip lan3/2 address 192.168.20.xxx/24 として、 ip filter 1001 pass * 192.168.10.10 * * * ip fifter 1002 reject * 192.168.10.0/24 * * * ip lan3/2 secure filter in 1001 1002 で、よろしいのでは。 細かいところの情報を教えてくれれば、もう少しアドバイスできますけど。 では。
補足
早速のご回答ありがとうございます。 試してみたところ、希望通り「BグループからAグループへのアクセスは遮断されるが、Aグループ内のサーバー 192.168.10.10 のみアクセスできる」ができました。 同時に「AグループからBグループへのアクセスも遮断」されたのですが、これはそういうものなのでしょうか。そうしたかったので良いのですが、filterをかけていないのにそちらも遮断されたのが少し疑問でした。ひとつフィルターをかけると基本的に許可したところ以外すべて遮断されると聞いたのですが、それが適用されたということなのでしょうか。 また、 インターネットへの接続はプロキシサーバー経由のみ通したいと思いますので、WAN側のLAN2に対してフィルタをかければいい、ということでしょうか。 すみません、お答えいただける範囲で結構ですので、教えてください。
お礼
hirasaku さま > 勝手な想像ですけど、LAN3にはVLAN切ったL2がいるんですよね。 > で、1ポートをトランクにして接続しているって感じですか。 その通りです。 アドバイスいただいた上記で、想定通り動作いたしました。 本当にありがとうございました。 しかしすみません、仕様が少し変更になってしまいました。 このまま継続して書くのも何なので、新しく投稿しなおしました。 よろしければそちらもご覧いただければ幸いです。 http://okwave.jp/qa/q8707589.html ありがとうございました。