静的フィルタリングの設定(その1)

ここでは、特定の送信元発のパケットだけの通過を許可するフィルタリングを設定していきます。

まず、下準備として、下図のネットワークを構築します。

R1ルータの設定

・プロンプトを「R1」にします。
# console prompt R1

・LAN1インターフェイスのIPアドレスとサブネットマスクを設定します。
R1# ip lan1 address 192.168.1.1/24

・相手先情報番号に「pp1」を選択します。
R1# pp select 1

・LAN2側に対して、PPPoEを使用するよう設定します。
R1pp1# pppoe use lan2

・認証タイプを設定します。
R1pp1# pp auth accept chap pap

・PPPoEサーバとの認証情報を設定します。
R1pp1# pp auth myname (PPPoE接続ID) (PPPoE接続パスワード)

・接続時にサーバからIPアドレスを得るように設定します。
R1pp1# ppp ipcp ipaddress on

・接続時にサーバからDNSサーバのIPアドレスを得るように設定します。
R1pp1# ppp ipcp msext on

・LCPのネゴシエーションで「Maximum Receive Unit」オプションで、パケットの最大長を指定します。
R1pp1# ppp lcp mru on 1454

・PPPにおけるMTUを指定します。
R1pp1# ip pp mtu 1454

・圧縮機能を使用しません。「none」で指定しない場合、デフォルトのstac圧縮でネゴシエーションされます。
R1pp1# ppp ccp type none

・「pp1」を使用できるようにします。
R1pp1# pp enable 1

・相手先情報番号「pp1」の選択を終了します。
R1pp1# pp select none

・宛先がLAN1以外の宛先であるデフォルトルートとして、相手先情報番号「pp1」に設定します。
R1# ip route default gateway pp 1

・DNSサーバのIPアドレスは、pp1から取得するアドレスを取得します。
R1# dns server pp 1

・プライベートアドレスのDNSアドレス解決要求をDNSサーバに転送しないように設定します。
R1# dns private address spoof on

●R1のコンフィグ

console prompt R1
ip route default gateway pp 1
ip lan1 address 192.168.1.1/24
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname (PPPoE接続ID) (PPPoE接続パスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 pp enable 1
dns server pp 1
dns private address spoof on

特定の送信元から発するパケットだけを送信する

 インターネットへのアクセスを許可をLAN1だけに限定するには、送信元のIPアドレスが、「192.168.1.0/24」だけを通過させるフィルタを作成して、PP側の出口に適用します。

・相手先情報番号に「pp1」を選択します。
R1# pp select 1

・送信元のIPアドレスに「192.168.1.0/24」を指定します。宛先IPアドレスは、任意なので「*」を指定します。
R1pp1# ip filter 1 pass 192.168.1.0/24 *

・pp側の出口の「out」の方向にフィルタを適用します。
R1pp1# ip pp secure filter out 1

・pp側の「out」の方向にフィルタを適用します。
R1pp1# ip pp secure filter out 1 2

PC1から、インターネットへの接続を行います。

問題なく、インターネットへの接続ができるはずです。

特定の宛先着のパケットをフィルタリングする

特定の宛先着のパケットを遮断するフィルタを定義していきます。

まず、R1にフィルタリング以外の設定を行います。

●R1のコンフィグ

console prompt R1
ip route default gateway pp 1
ip lan1 address 192.168.1.1/24
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname (PPPoE接続ID) (PPPoE接続パスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 pp enable 1
dns server pp 1
dns private address spoof on

例えば、gooのサイトへのアクセスを遮断したい場合、「nslookup」コマンドでIPアドレスを調べます。

調べたIPアドレス指定して、フィルタコマンドを定義します。

※IPアドレスは、変更されることもありますし、1つのサイトで複数のIPアドレスを使用している場合もあります。

 フィルタを適用する前に、gooのサイトへアクセスできるか確認を行います。フィルタ適用する前なので、サイトにアクセスできるはずです。

・相手先情報番号に「pp1」を選択します。
R1# pp select 1

・宛先IPアドレスに「210.165.9.195」を指定し、送信元IPアドレスは、任意なので「*」を指定します。
R1pp1# ip filter 1 reject * 210.165.9.195/32

・その他の宛先へのアクセスは、全て許可します。
R1pp1# ip filter 2 pass * *

・pp側の「out」の方向にフィルタを適用します。
R1pp1# ip pp secure filter out 1 2

・相手先情報番号「pp1」の選択を終了します。
R1pp1# pp select none

再度、サイトへアクセスを試みます。アクセスがフィルタリングされてサイトを閲覧できません。

 ただし、IPアドレスを指定して、特定のサイトをフィルタリングする方法は、柔軟性に欠けます。その理由は、IPアドレスは、変更されることもありますし、1つのサイトで複数のIPアドレスを使用している場合もあるからです。そのため、URLを指定するフィルタリング手法もあります。