- ベストアンサー
RTX1200でのフィルタについて
- RTX1200を使用して、192.168.10.0/24と172.16.10.0/24のネットワークを設定し、フィルタをかける方法についてアドバイスをいただきたいです。
- フィルタをかけて以下の要件を満たしたいです。 1. グループ内のPC同士のアクセスは可能 2. グループ間の相互アクセスは不可 3. 172.16.10.0/24グループは192.168.10.10のサーバーにアクセス可能 4. インターネット接続は必ずプロキシサーバーを経由して行い、直接WAN側には出られないようにする 5. webサイトを見る以外はプロキシ経由でなく直接WAN側に出られるようにする
- 色々試していますがうまくいかないため、フィルタのかけ方や他の方法を教えていただきたいです。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
どもどもども。 hirasaku です。 前回とセグメントが変わっただけですよね・・・ あと、DNSも 192.168.10.10 でやらせたくらいですか。 まずですね、インターフェースに secure filter をかけた場合、最後に暗黙の reject が入ります。 フィルタは secure filter でかけた番号の順番にマッチするか調べるわけですが、 すべてマッチしなければ reject します。 で、前回は 192.168 でまとめることができたんですが、(サブネットを /16 にして) 今回は 172.16.10 になってるので、このネットワークのフィルタを作らないとダメです。 (WAN側のフィルタのことです) それと、内側のNATなんですが、nat descriptor address inner を設定しなければ、 nat descriptor address inner xx auto になりセグメントに関係なくすべてのアドレスが NATの対象になります。 私個人的にそれは好きではないので、NAT対象を指定しちゃいます。 すべて変換対象でいいのなら、指定はいりません。 ということで、長くなっちゃいますが・・・ すべての許可フィルタ ip filter 9000 pass * * * * * VLAN間制御として 厳密にWWWとWindowsファイル共有とDNSだけの制御 ip lan3/1 address 172.16.10.1/24 ip filter 1001 pass * 192.168.10.10 tcp * 80,443 ip filter 1002 pass * 192.168.10.10.udp * 53 ip filter 1003 pass * 192.168.10.10 tcp,udp * 135 ip filter 1004 pass * 192.168.10.10 tcp,udp * 137-139 ip filter 1005 pass * 192.168.10.10 tcp,udp * 445 ip filter 1006 reject * 192.168.10.0/24 * * * ip lan3/1 secure filter in 1001 1002 1003 1004 1005 1006 9000 ip lan3/2 address 192.168.10.1/24 ip filter 2001 pass 192.166.10.10 172.16.10.0/24 tcp 80,443 * ip filter 2002 pass 192.168.10.10 172.16.10.0/24 udp 53 * ip filter 2003 pass 192.168.10.10 172.16.10.0/24 tcp,udp 135 * ip filter 2004 pass 192.168.10.10 172.16.10.0/24 tcp,udp 137-139 * ip filter 2005 pass 192.168.10.10 172.16.10.0/24 tcp,udp 445 * ip filter 2006 reject * 172.16.10.0/24 * * * ip lan3/2 secure filter in 2001 2002 2003 2004 2005 2006 9000 WAN側の制御 ip filter 101 reject 172.16.10.0/24 * * * * ip filter 102 reject 192.168.10.0/24 * * * * ip filter 103 pass * 172.16.10.0/24 icmp * * ip filter 104 pass * 192.168.10.0/24 icmp * * ip filter 201 reject 172.16.10.0/24 * tcp,udp * 136 ip filter 202 reject 192.168.10.0/24 * tcp,udp * 135 ip filter 203 reject 172.16.10.0/24 * tcp,udp * 137-139 ip filter 204 reject 192.168.10.0/24 * tcp,udp * 137-139 ip filter 205 reject 172.16.10.0/24 * tcp,udp * 445 ip filter 206 reject 192.168.10.0/24 * tcp,udp * 445 ip filter 207 reject 172.16.10.0/24 * tcp.udp 135 * ip filter 208 reject 192.168.10.0/24 * tcp,udp 135 * ip filter 209 reject 172.16.10.0/24 * tcp,udp 137-139 * ip filter 210 reject 192.168.10.0/24 * tcp,udp 137-139 * ip filter 211 reject 172.16.10.0/24 * tcp.udp 445 * ip filter 212 reject 192.168.10.0/24 * tcp,udp 445 * ip filter 301 pass 192.168.10.10 * tcp * 80,443 ip filter 302 reject 172.16.10.0/24 * tcp * 80,443 ip filter 303 reject 192.168.0.0/16 * tcp * 80.443 ip filter dynamic 1 * * www ip filter dynamic 2 * * domain ip filter dynamic 3 * * ftp ip filter dynamic 4 * * smtp ip filter dynamic 5 * * pop3 ip filter dynamic 6 * * tcp ip filter dynamic 7 * * udp WAN側フィルタの適用 ip lan2 secure filter in 101 102 103 104 ip lan2 secure filter out 201 202 203 204 205 206 207 208 209 210 211 212 301 302 303 9000 dynamic 1 2 3 4 5 6 7 (表示がずれてたら一行で入力) nat descriptor LAN側アドレスの設定 nat descriptor address inner 1 172.16.10.1-172.16.10.254 192.168.10.1-192.168.10.254 と、こんな具合ですか。 前回、dynamic で WWW を 191.168.10.10 で指定していましたけど、 フィルタで制御しているので、ここは普通に。 それと余計だったかもしれませんが、HTTPS もプロキシ通しにしてあります。 いらなければ、外してください。 動くか試してないので、動作チェックをしてください。 では。
その他の回答 (1)
出来るかどうかやってみないとわかりませんが上記文章だけでの推測です とりあえずインターネットに出るのとグループ間は分けて考えたほうがいいです ハマります lan3側にフィルターをかけます ip lan3 secure filter in 3 1 2 ・192.168.10.0/24グループと172.16.10.0/24グループは、グループ内PC同士のアクセスは可、グループ間の相互アクセスは不可 ip filter 1 reject 192.168.10.0/24 172.16.10.0/24 ip filter 2 reject 172.16.10.0/24 192.168.10.0/24 ・サーバーが192.168.10.10にあるので、172.16.10.0/24グループもこのサーバーへは自由にアクセスできる ip filter 3 pass 172.16.10.0/24 192.168.10.10 ここで一旦終了 グループ間アクセスがちゃんと設定通りで来てるか動作確認します ・インターネットの接続(www)は必ず192.168.10.10のプロキシサーバーを通したいので、クライアントから直接WAN側に(www)は出られないようにする。 ip pp secure filterにて適切にやってください ・プロキシサーバーはwwwだけなので、pop3やsmtpなど「webサイトを見る」以外はプロキシ経由でなく直接WAN側に出られるようにする ip pp secure filterにて適切にやってください 許可したいものをPP OUTでフィルターを掛けます ip pp scure filter out 1001 1002 1003 1004 1005 .... 許可したいプロトコルを増やしていきます ip filter 1001 pass 192.168.10.10 * ip filter 1002 pass 192.168.10.0/24 * tcp * pop3 ip filter 1003 pass 172.16.10.0/24 * tcp * pop3 ip filter 1004 pass 192.168.10.0/24 * tcp * smtp ip filter 1005 pass 172.16.10.0/24 * tcp * smtp たぶん こんなかんじでいけると思いますが
お礼
早速のお答え、ありがとうございました。 > 出来るかどうかやってみないとわかりませんが上記文章だけでの推測です > とりあえずインターネットに出るのとグループ間は分けて考えたほうがいいです > ハマります その通りですね。そのあたりがごちゃごちゃになり、ハマりました。 基本全部とめておいて、通したいプロトコルだけ通すという方法ですね。 私は反対に、基本的には通しておいて、止めたいところだけ止めるという考えでした。 確かに、止めるのが基本と考えたほうが、セキュリティとしては正しいのかもしれません。 参考になります。ありがとうございました。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_4_thumbnail_img_sm.png)
お礼
詳しい解説ありがとうございます。 大変勉強になりました。 お答えいただいたことを参考にconfigを用意し、色々とテストをしているところですが、順調に、考えていた通りに動作してくれています。 書いていただいた解説も、configの例も、大変参考になりました。 おかげさまでうまくいきそうなので、ここで締切とさせていただきたいと思います。 色々とありがとうございました。