- FutureNet製品活用ガイド
- FutureNet NXR,WXRシリーズ
- NAT・フィルタ編
FutureNet
NXR,WXRシリーズ
NAT・フィルタ編
1. フィルタ設定
1-1. 入力(in)フィルタ設定
入力フィルタでは、ルータ宛に送信されたパケットのうちルータ自身で受信し処理するものを対象とします。この設定例では、LAN内で特定のIPアドレスからルータへのTELNETアクセスは許可するが、それ以外のIPアドレスからのTELNETアクセスは破棄します。
【 構成図 】
- 入力フィルタ(in)では外部からルータ自身に入ってくるパケットを制御します。インターネットやLANからルータへのアクセスについて制御したい場合には、この入力フィルタを設定します。
【 設定データ 】
設定項目 | 設定内容 | |||
---|---|---|---|---|
ethernet0インタフェース | IPアドレス | 192.168.10.1/24 | ||
IPアクセスグループ | in | eth0_in | ||
IPフィルタ | ルール名 | eth0_in | ||
eth0_in | No.1 | 動作 | 許可 | |
送信元IPアドレス | 192.168.10.100 | |||
宛先IPアドレス | 192.168.10.1 | |||
プロトコル | TCP | |||
送信元ポート | any | |||
宛先ポート | 23 | |||
No.2 | 動作 | 破棄 | ||
送信元IPアドレス | any | |||
宛先IPアドレス | 192.168.10.1 | |||
プロトコル | TCP | |||
送信元ポート | any | |||
宛先ポート | 23 |
【 設定例 】
nxr120#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
nxr120(config)#ip access-list eth0_in permit 192.168.10.100 192.168.10.1 tcp any 23
nxr120(config)#ip access-list eth0_in deny any 192.168.10.1 tcp any 23
nxr120(config)#interface ethernet 0
nxr120(config-if)#ip address 192.168.10.1/24
nxr120(config-if)#ip access-group in eth0_in
nxr120(config-if)#exit
nxr120(config)#exit
nxr120#save config
Enter configuration commands, one per line. End with CNTL/Z.
nxr120(config)#ip access-list eth0_in permit 192.168.10.100 192.168.10.1 tcp any 23
nxr120(config)#ip access-list eth0_in deny any 192.168.10.1 tcp any 23
nxr120(config)#interface ethernet 0
nxr120(config-if)#ip address 192.168.10.1/24
nxr120(config-if)#ip access-group in eth0_in
nxr120(config-if)#exit
nxr120(config)#exit
nxr120#save config
【 設定例解説 】
1. <IPアクセスリスト設定>
nxr120(config)#ip access-list eth0_in permit 192.168.10.100 192.168.10.1 tcp any 23
nxr120(config)#ip access-list eth0_in deny any 192.168.10.1 tcp any 23
nxr120(config)#ip access-list eth0_in deny any 192.168.10.1 tcp any 23
フィルタの動作を規定するルールリストを作成します。
IPアクセスリスト名をeth0_inとし、送信元IPアドレス192.168.10.100以外からルータのLAN側IPアドレス192.168.10.1へのTELNETアクセスを破棄します。
なお、このIPアクセスリスト設定はethernet0インタフェース設定で登録します。
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングを行うインタフェースでの登録が必要になります。
2. <ethernet0インタフェース設定>
nxr120(config)#interface ethernet 0
nxr120(config-if)#ip address 192.168.10.1/24
nxr120(config-if)#ip address 192.168.10.1/24
ethernet0インタフェースのIPアドレスを設定します。
nxr120(config-if)#ip access-group in eth0_in
IPアクセスリスト設定で設定したeth0_inをinフィルタに適用します。これによりethernet0インタフェースで受信したルータ自身宛のパケットに対してIPアクセスリストによるチェックが行われます。
【 端末の設定例 】
端末1 | 端末2 | |
IPアドレス | 192.168.10.100 | 192.168.10.101 |
サブネットマスク | 255.255.255.0 |