- FutureNet製品活用ガイド
- FutureNet NXR,WXRシリーズ
- NAT・フィルタ編
FutureNet
NXR,WXRシリーズ
NAT・フィルタ編
1. フィルタ設定
1-2. 転送(forward-in,forward-out)フィルタ設定
転送フィルタでは、ルータが内部転送(NXR,WXRがルーティング)するパケットを制御するときに利用します。この設定例では、LAN_Bに設置されているWWWサーバ,TELNETサーバに対してWWWサーバへのアクセスは許可するが、TELNETサーバへのアクセスは破棄します。
【 構成図 】
- 転送フィルタ(forward-in,forward-out)ではLANからインターネットへのアクセスやインターネットからLAN内サーバへのアクセス、LANからLANへのアクセスなどルータが内部転送する(ルーティングする)パケットを制御します。
【 設定データ 】
| 設定項目 | 設定内容 | |||
|---|---|---|---|---|
| ethernet0インタフェース | IPアドレス | 192.168.10.1/24 | ||
| IPアクセスグループ | forward-in | eth0_forward-in | ||
| ethernet1インタフェース | IPアドレス | 192.168.20.1/24 | ||
| IPフィルタ | ルール名 | eth0_forward-in | ||
| eth0_forward-in | No.1 | 動作 | 許可 | |
| 送信元IPアドレス | any | |||
| 宛先IPアドレス | 192.168.20.10 | |||
| プロトコル | TCP | |||
| 送信元ポート | any | |||
| 宛先ポート | 80 | |||
| No.2 | 動作 | 破棄 | ||
| 送信元IPアドレス | any | |||
| 宛先IPアドレス | 192.168.20.20 | |||
| プロトコル | TCP | |||
| 送信元ポート | any | |||
| 宛先ポート | 23 | |||
【 設定例 】
nxr120#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
nxr120(config)#ip access-list eth0_forward-in permit any 192.168.20.10 tcp any 80
nxr120(config)#ip access-list eth0_forward-in deny any 192.168.20.20 tcp any 23
nxr120(config)#interface ethernet 0
nxr120(config-if)#ip address 192.168.10.1/24
nxr120(config-if)#ip access-group forward-in eth0_forward-in
nxr120(config-if)#exit
nxr120(config)#interface ethernet 1
nxr120(config-if)#ip address 192.168.20.1/24
nxr120(config-if)#exit
nxr120(config)#exit
nxr120#save config
Enter configuration commands, one per line. End with CNTL/Z.
nxr120(config)#ip access-list eth0_forward-in permit any 192.168.20.10 tcp any 80
nxr120(config)#ip access-list eth0_forward-in deny any 192.168.20.20 tcp any 23
nxr120(config)#interface ethernet 0
nxr120(config-if)#ip address 192.168.10.1/24
nxr120(config-if)#ip access-group forward-in eth0_forward-in
nxr120(config-if)#exit
nxr120(config)#interface ethernet 1
nxr120(config-if)#ip address 192.168.20.1/24
nxr120(config-if)#exit
nxr120(config)#exit
nxr120#save config
【 設定例解説 】
1. <IPアクセスリスト設定>
nxr120(config)#ip access-list eth0_forward-in permit any 192.168.20.10 tcp any 80
nxr120(config)#ip access-list eth0_forward-in deny any 192.168.20.20 tcp any 23
nxr120(config)#ip access-list eth0_forward-in deny any 192.168.20.20 tcp any 23
フィルタの動作を規定するルールリストを作成します。
IPアクセスリスト名をeth0_forward-inとし、宛先IPアドレス192.168.20.10,宛先TCPポート番号80のパケットは許可しますが、宛先IPアドレス192.168.20.20,宛先TCPポート番号23のパケットは破棄します。
なお、このIPアクセスリスト設定はethernet0インタフェース設定で登録します。
(☞) IPアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングを行うインタフェースでの登録が必要になります。
2. <ethernet0インタフェース設定>
nxr120(config)#interface ethernet 0
nxr120(config-if)#ip address 192.168.10.1/24
nxr120(config-if)#ip address 192.168.10.1/24
ethernet0インタフェースのIPアドレスを設定します。
nxr120(config-if)#ip access-group forward-in eth0_forward-in
IPアクセスリスト設定で設定したeth0_forward-inをforward-inフィルタに適用します。これによりethernet0インタフェースで受信したルータが内部転送する(ルーティングする)パケットに対してIPアクセスリストによるチェックが行われます。
3. <ethernet1インタフェース設定>
nxr120(config)#interface ethernet 1
nxr120(config-if)#ip address 192.168.20.1/24
nxr120(config-if)#ip address 192.168.20.1/24
ethernet1インタフェースのIPアドレスを設定します。
【 端末の設定例 】
| LAN_A | LAN_B | |||
| 端末 | 端末 | WWWサーバ | TELNETサーバ | |
| IPアドレス | 192.168.10.100 | 192.168.20.100 | 192.168.20.10 | 192.168.20.20 |
| サブネットマスク | 255.255.255.0 | |||
| デフォルトゲートウェイ | 192.168.10.1 | 192.168.20.1 | ||