9. フィルター設定
9.1. 静的フィルターを使用する
静的フィルターの設定例です。
外部からはサーバー宛てかつHTTP/HTTPSアクセスのみを受信許可する例です。
設定
本装置の設定
Router# configure
Router(config)# ip access-list flt-list permit tcp src any sport any dest 192.168.0.1/32 dport eq 80
Router(config)# ip access-list flt-list permit tcp src any sport any dest 192.168.0.1/32 dport eq 443
Router(config)# interface GigaEthernet0.0
Router(config-GigaEthernet0.0)# ip address 10.0.0.1/24
Router(config-GigaEthernet0.0)# ip filter flt-list 10 in
Router(config-GigaEthernet0.0)# no shutdown
Router(config-GigaEthernet0.0)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)#
解説
ip access-list https-pass permit tcp src any sport any dest 192.168.0.1/32 dport eq 80
ip access-list https-pass permit tcp src any sport any dest 192.168.0.1/32 dport eq 443
interface GigaEthernet0.0
ip filter flt-list 10 in
外部 :
GE0.0
からのパケット受信時に、宛先IPアドレスが 192.168.0.1
かつHTTPパケット(TCP/80)とHTTPSパケット(TCP/443)のみを許可します。それ以外のパケットは暗黙のdenyとして全てブロックします。
9.2. 動的フィルターを使用する
動的フィルターの設定例です。
HTTP/HTTPS/DNSのみ送信と一時的にその戻りの通信を許可する例です。
設定
本装置の設定
Router# enable-config
Router(config)# ip access-list all-block deny ip src any dest any
Router(config)# ip access-list other-list permit tcp src any dest any dport eq 443
Router(config)# ip access-list dynamic d-list1 http src any dest any
Router(config)# ip access-list dynamic d-list1 dns src any dest any
Router(config)# ip access-list dynamic d-list1 access other-list
Router(config)# interface GigaEthernet0.0
Router(config-GigaEthernet0.0)# ip address 10.0.0.1/24
Router(config-GigaEthernet0.0)# ip filter all-block 10 in
Router(config-GigaEthernet0.0)# ip filter d-list1 10 out
Router(config-GigaEthernet0.0)# no shutdown
Router(config-GigaEthernet0.0)# exit
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)#
解説
ip access-list all-block deny ip src any dest any
全てのパケットを廃棄する静的フィルター用のアクセスリストです。
interface GigaEthernet0.0
ip filter all-block 10 in
受信方向に静的フィルターのアクセスリスト : all-block
の関連付けを行います。
ip access-list dynamic d-list1 http src any dest any
ip access-list dynamic d-list1 dns src any dest any
HTTP/DNSを動的フィルターのアクセスリストとして指定します。
ip access-list other permit tcp src any dest any dport eq 443
ip access-list dynamic d-list1 access other-list
HTTPSはアプリケーション名で指定できないため、ポート番号(TCP/443)を指定します。
interface GigaEthernet0.0
ip filter d-list1 10 out
送信方向に動的フィルターのアクセスリスト : d-list1
の関連付けを行います。
9.3. MACフィルターを使用する
MACフィルターの設定例です。
許可したMACアドレスを持つ端末のみ通信を許可する例です。
設定
本装置の設定
Router# enable-config
Router(config)# access-list mac-list permit src 11:22:33:44:55:01 dest any
Router(config)# interface GigaEthernet2.0
Router(config-GigaEthernet2.0)# ip address 192.168.0.254/24
Router(config-GigaEthernet2.0)# filter mac-list 10 in
Router(config-GigaEthernet2.0)# no shutdown
Router(config-GigaEthernet2.0)# exit
Router(config)#
解説
access-list mac-list permit src 11:22:33:44:55:01 dest any
interface GigaEthernet2.0
filter mac-list 10 in
LAN側 :
GE2.0
からのパケット受信時に、送信元MACアドレスが 11:22:33:44:55:01
のみアクセスを許可します。それ以外のパケットは暗黙のdenyとして全てブロックします。