9. フィルター設定

9.1. 静的フィルターを使用する

静的フィルターの設定例です。
外部からはサーバー宛てかつHTTP/HTTPSアクセスのみを受信許可する例です。
../_images/9.1.png

設定

本装置の設定

Router# configure
Router(config)# ip access-list flt-list permit tcp src any sport any dest 192.168.0.1/32 dport eq 80
Router(config)# ip access-list flt-list permit tcp src any sport any dest 192.168.0.1/32 dport eq 443
Router(config)# interface GigaEthernet0.0
Router(config-GigaEthernet0.0)# ip address 10.0.0.1/24
Router(config-GigaEthernet0.0)# ip filter flt-list 10 in
Router(config-GigaEthernet0.0)# no shutdown
Router(config-GigaEthernet0.0)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)#

解説

ip access-list https-pass permit tcp src any sport any dest 192.168.0.1/32 dport eq 80
ip access-list https-pass permit tcp src any sport any dest 192.168.0.1/32 dport eq 443
interface GigaEthernet0.0
  ip filter flt-list 10 in
外部 : GE0.0 からのパケット受信時に、宛先IPアドレスが 192.168.0.1 かつHTTPパケット(TCP/80)とHTTPSパケット(TCP/443)のみを許可します。
それ以外のパケットは暗黙のdenyとして全てブロックします。

9.2. 動的フィルターを使用する

動的フィルターの設定例です。
HTTP/HTTPS/DNSのみ送信と一時的にその戻りの通信を許可する例です。
../_images/9.2.png

設定

本装置の設定

Router# enable-config
Router(config)# ip access-list all-block deny ip src any dest any
Router(config)# ip access-list other-list permit tcp src any dest any dport eq 443
Router(config)# ip access-list dynamic d-list1 http src any dest any
Router(config)# ip access-list dynamic d-list1 dns src any dest any
Router(config)# ip access-list dynamic d-list1 access other-list
Router(config)# interface GigaEthernet0.0
Router(config-GigaEthernet0.0)# ip address 10.0.0.1/24
Router(config-GigaEthernet0.0)# ip filter all-block 10 in
Router(config-GigaEthernet0.0)# ip filter d-list1 10 out
Router(config-GigaEthernet0.0)# no shutdown
Router(config-GigaEthernet0.0)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)#

解説

ip access-list all-block deny ip src any dest any

全てのパケットを廃棄する静的フィルター用のアクセスリストです。

interface GigaEthernet0.0
  ip filter all-block 10 in

受信方向に静的フィルターのアクセスリスト : all-block の関連付けを行います。

ip access-list dynamic d-list1 http src any dest any
ip access-list dynamic d-list1 dns src any dest any

HTTP/DNSを動的フィルターのアクセスリストとして指定します。

ip access-list other permit tcp src any dest any dport eq 443
ip access-list dynamic d-list1 access other-list

HTTPSはアプリケーション名で指定できないため、ポート番号(TCP/443)を指定します。

interface GigaEthernet0.0
  ip filter d-list1 10 out

送信方向に動的フィルターのアクセスリスト : d-list1 の関連付けを行います。

9.3. MACフィルターを使用する

MACフィルターの設定例です。
許可したMACアドレスを持つ端末のみ通信を許可する例です。
../_images/9.3.png

設定

本装置の設定

Router# enable-config
Router(config)# access-list mac-list permit src 11:22:33:44:55:01 dest any
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# filter mac-list 10 in
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)#

解説

access-list mac-list permit src 11:22:33:44:55:01 dest any
interface GigaEthernet2.0
  filter mac-list 10 in
LAN側 : GE2.0 からのパケット受信時に、送信元MACアドレスが 11:22:33:44:55:01 のみアクセスを許可します。
それ以外のパケットは暗黙のdenyとして全てブロックします。