動的フィルタリングの設定

ここでは、簡単な動的フィルタを設定していきます。

ネットワーク構成図は、下図の通りです。

 LAN1側の192.168.1.0/24ネットワークからは、FTPの通信のみを許可し、LAN2側からはその応答パケットだけを許可し、それ以外の通信を拒否する設定を行います。

設定は、以下のようになります。

# console prompt R1
R1# ip lan1 address 192.168.1.1/24
R1# ip lan2 address 172.16.1.1/16

FTPのパケットだけを通過せるための動的フィルタを定義します。

R1# ip filter dynamic 1 192.168.1.0/24 * ftp

動的に生成されるフィルタに合致するパケット以外を遮断するためのフィルタを定義します。

R1# ip filter 100 reject * * * * *
R1# ip lan2 secure filter in 100
R1# ip lan2 secure filter dynamic 1

動作検証

上で設定した内容を検証していきます。

 動作確認は、「鯖男」などのフリーツールを利用すると便利です。※「鯖男」というツールは、検証時に使用したアプリケーションであるため、皆様の検証を行う際には、適当にフリーツールを検索して探してみましょう。

ブラウザなどを使用して、FTPの通信が可能であるかを確認します。

FTPの通信が、行われることが確認できます。

その他の通信、HTTPの通信が遮断されることを確認します。

HTTPの通信は、遮断されます。

動的フィルタ内容に変更を加える

ここからでは、動的フィルタ内容に変更を加えます。

 LAN1側の192.168.1.0/24ネットワークからは、FTPとHTTPの通信のみを許可し、LAN2側からはその応答パケットだけを許可し、それ以外の通信を拒否する設定を行います。

HTTPの通信を許可する動的フィルタを追加します。

R1# ip filter dynamic 2 192.168.1.0/24 * www

LAN2インタフェースへ動的フィルタを適用します。

R1# ip lan2 secure filter dynamic 1 2

動作検証

ブラウザを起動して、HTTPの通信が可能であるかを確認します。