- FutureNet製品活用ガイド
- FutureNet NXR,WXRシリーズ
- NAT・フィルタ編
FutureNet
NXR,WXRシリーズ
NAT・フィルタ編
1. フィルタ設定
1-5. ブリッジフィルタ設定
ブリッジフィルタは、ブリッジインタフェースで動作するフィルタです。ブリッジフィルタでは、MACアドレス、IPアドレス、VLAN IDなどを条件としてレイヤ2レベルでのフィルタリングが可能です。この設定例では、特定の端末からWWWサーバ,SSHサーバへのアクセスは許可するが、それ以外の端末からのアクセスは破棄します。
【 構成図 】
- ブリッジフィルタは、ブリッジインタフェースで登録したEthernet0インタフェースで行います。
- 端末1からWWWサーバへの通信(ARPリクエスト,TCPポート番号80)を許可します。
- 端末2からSSHサーバへの通信(ARPリクエスト,TCPポート番号22)を許可します。
- その他端末からのルータ宛およびルータ経由の通信を破棄します。
【 設定データ 】
| 設定項目 | 設定内容 | |||
|---|---|---|---|---|
| ブリッジインタフェース | bridge0のIPアドレス | 192.168.10.1/24 | ||
| ブリッジ対象インタフェース | ethernet0 | |||
| ethernet1 | ||||
| ブリッジアクセスグループ | in | br0_eth0-in | ||
| forward-in | br0_eth0-forward-in | |||
| ブリッジフィルタ | ルール名 | br0_eth0-forward-in | ||
| br0_eth0-forward-in | No.1 | 動作 | 許可 | |
| フィールド | ARP | |||
| OPCODE | Request | |||
| 送信元MACアドレス | 00:80:6D:XX:XX:00 | |||
| 送信元IPアドレス | 192.168.10.100 | |||
| 宛先IPアドレス | 192.168.10.10 | |||
| No.2 | 動作 | 許可 | ||
| フィールド | IP | |||
| 送信元MACアドレス | 00:80:6D:XX:XX:00 | |||
| 送信元IPアドレス | 192.168.10.100 | |||
| 宛先IPアドレス | 192.168.10.10 | |||
| プロトコル | TCP | |||
| 宛先ポート | 80 | |||
| No.3 | 動作 | 許可 | ||
| フィールド | ARP | |||
| OPCODE | Request | |||
| 送信元MACアドレス | 00:80:6D:XX:XX:02 | |||
| 送信元IPアドレス | 192.168.10.102 | |||
| 宛先IPアドレス | 192.168.10.11 | |||
| No.4 | 動作 | 許可 | ||
| フィールド | IP | |||
| 送信元MACアドレス | 00:80:6D:XX:XX:02 | |||
| 送信元IPアドレス | 192.168.10.102 | |||
| 宛先IPアドレス | 192.168.10.11 | |||
| プロトコル | TCP | |||
| 宛先ポート | 22 | |||
| No.5 | 動作 | 破棄 | ||
| フィールド | any | |||
| 送信元MACアドレス | any | |||
| 宛先MACアドレス | any | |||
| ルール名 | br0_eth0-in | |||
| br0_eth0-in | No.1 | 動作 | 破棄 | |
| フィールド | any | |||
| 送信元MACアドレス | any | |||
| 宛先MACアドレス | any | |||
【 設定例 】
Enter configuration commands, one per line. End with CNTL/Z.
nxr120(config)#bridge access-list br0_eth0-forward-in permit 1 arp
nxr120(config-bridge-acl)#opcode request
nxr120(config-bridge-acl)#sender-mac 00:80:6D:XX:XX:00
nxr120(config-bridge-acl)#sender-ip 192.168.10.100
nxr120(config-bridge-acl)#target-ip 192.168.10.10
nxr120(config-bridge-acl)#exit
nxr120(config)#bridge access-list br0_eth0-forward-in permit 2 ip
nxr120(config-bridge-acl)#mac source 00:80:6D:XX:XX:00
nxr120(config-bridge-acl)#source 192.168.10.100
nxr120(config-bridge-acl)#destination 192.168.10.10
nxr120(config-bridge-acl)#protocol tcp
nxr120(config-bridge-acl)#destination-port 80
nxr120(config-bridge-acl)#exit
nxr120(config)#bridge access-list br0_eth0-forward-in permit 3 arp
nxr120(config-bridge-acl)#opcode request
nxr120(config-bridge-acl)#sender-mac 00:80:6D:XX:XX:02
nxr120(config-bridge-acl)#sender-ip 192.168.10.102
nxr120(config-bridge-acl)#target-ip 192.168.10.11
nxr120(config-bridge-acl)#exit
nxr120(config)#bridge access-list br0_eth0-forward-in permit 4 ip
nxr120(config-bridge-acl)#mac source 00:80:6D:XX:XX:02
nxr120(config-bridge-acl)#source 192.168.10.102
nxr120(config-bridge-acl)#destination 192.168.10.11
nxr120(config-bridge-acl)#protocol tcp
nxr120(config-bridge-acl)#destination-port 22
nxr120(config-bridge-acl)#exit
nxr120(config)#bridge access-list br0_eth0-forward-in deny 5 any any any
nxr120(config)#bridge access-list br0_eth0-in deny 1 any any any
nxr120(config)#interface bridge 0
nxr120(config-bridge)#ip address 192.168.10.1/24
nxr120(config-bridge)#bridge port 1 ethernet 0
nxr120(config-bridge)#bridge port 2 ethernet 1
nxr120(config-bridge)#bridge port 1 access-group in br0_eth0-in
nxr120(config-bridge)#bridge port 1 access-group forward-in br0_eth0-forward-in
nxr120(config-bridge)#exit
nxr120(config)#exit
nxr120#save config
【 設定例解説 】
1. <ブリッジアクセスリスト設定>
nxr120(config-bridge-acl)#opcode request
nxr120(config-bridge-acl)#sender-mac 00:80:6D:XX:XX:00
nxr120(config-bridge-acl)#sender-ip 192.168.10.100
nxr120(config-bridge-acl)#target-ip 192.168.10.10
ブリッジアクセスリスト名をbr0_eth0-forward-in、EthernetタイプをARPとします。そして、OPコードがRequest(ARP Request),送信元MACアドレス00:80:6D:XX:XX:00,送信元IPアドレス192.168.10.100,宛先IPアドレス192.168.10.10のフレームを許可します。
nxr120(config-bridge-acl)#mac source 00:80:6D:XX:XX:00
nxr120(config-bridge-acl)#source 192.168.10.100
nxr120(config-bridge-acl)#destination 192.168.10.10
nxr120(config-bridge-acl)#protocol tcp
nxr120(config-bridge-acl)#destination-port 80
ブリッジアクセスリスト名をbr0_eth0-forward-in、EthernetタイプをIP(IPv4)とします。そして、送信元MACアドレス00:80:6D:XX:XX:00,送信元IPアドレス192.168.10.100,宛先IPアドレス192.168.10.10,宛先TCPポート番号80のフレームを許可します。
nxr120(config-bridge-acl)#opcode request
nxr120(config-bridge-acl)#sender-mac 00:80:6D:XX:XX:02
nxr120(config-bridge-acl)#sender-ip 192.168.10.102
nxr120(config-bridge-acl)#target-ip 192.168.10.11
ブリッジアクセスリスト名をbr0_eth0-forward-in、EthernetタイプをARPとします。そして、OPコードがRequest(ARP Request),送信元MACアドレス00:80:6D:XX:XX:02,送信元IPアドレス192.168.10.102,宛先IPアドレス192.168.10.11のフレームを許可します。
nxr120(config-bridge-acl)#mac source 00:80:6D:XX:XX:02
nxr120(config-bridge-acl)#source 192.168.10.102
nxr120(config-bridge-acl)#destination 192.168.10.11
nxr120(config-bridge-acl)#protocol tcp
nxr120(config-bridge-acl)#destination-port 22
ブリッジアクセスリスト名をbr0_eth0-forward-in、EthernetタイプをIP(IPv4)とします。そして、送信元MACアドレス00:80:6D:XX:XX:02,送信元IPアドレス192.168.10.102,宛先IPアドレス192.168.10.11,宛先TCPポート番号22のフレームを許可します。
ブリッジアクセスリスト名をbr0_eth0-forward-in、Ethernetタイプ,送信元,宛先MACアドレスanyのフレームを破棄します。
ブリッジアクセスリスト名をbr0_eth0-in、Ethernetタイプ,送信元,宛先MACアドレスanyのフレームを破棄します。
(☞) これらブリッジアクセスリスト設定はbridge0インタフェース設定で登録します。
(☞) ブリッジアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングを行うインタフェースでの登録が必要になります。
2. <bridge0インタフェース設定>
nxr120(config-bridge)#ip address 192.168.10.1/24
bridge0インタフェースのIPアドレスを設定します。
nxr120(config-bridge)#bridge port 2 ethernet 1
ブリッジインタフェースで利用するインタフェースを設定します。
ブリッジアクセスリスト設定で設定したbr0_eth0-inをブリッジポート1のinフィルタに適用します。これによりブリッジポート1(ethernet0インタフェース)で受信したルータ自身宛のフレームに対してブリッジアクセスリストによるチェックが行われます。
ブリッジアクセスリスト設定で設定したbr0_eth0-forward-inをブリッジポート1のforward-inフィルタに適用します。これによりブリッジポート1(ethernet0インタフェース)で受信したルータが内部転送する(透過する)フレームに対してブリッジアクセスリストによるチェックが行われます。
【 端末の設定例 】
| 端末1 | 端末2 | WWWサーバ | SSHサーバ | |
| IP アドレス | 192.168.10.100 | 192.168.10.102 | 192.168.10.10 | 192.168.10.11 |
| サブネットマスク | 255.255.255.0 | |||