PCごとにIPフィルターを設定する

本機能の対応機種は、RTX5000RTX3500RTX1210RTX830RTX810NVR700WNVR510NVR500です。

図 PCごとにIPフィルターを設定する

ルーターのLAN側にあるPCごとにアクセス可能な範囲を限定する設定例です。
PCに静的に割り当てられたIPアドレスを利用してIPフィルターを設定し、PCごとにアクセス可能な範囲およびサービスを限定します。

光回線に接続するためには、別途ONUが必要です。
NVR700WとNVR510は、本体のONUポートに小型ONUを装着することで、光回線に接続できます。

本機能の対応機種のうち、設定例を掲載している機種は、以下のとおりです。

機種 掲載内容 備考
RTX5000 RTX3500 RTX1210 RTX830 RTX810 NVR700W NVR510 NVR500 コマンド設定例  

ルーターの設定例

LANインターフェースの設定
(LAN1ポートを使用)
ip lan1 address 192.168.100.1/24
WAN(ISP)インターフェースの設定
(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPと接続するID) (ISPと接続するパスワード)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp nat descriptor 1
pp enable 1
ip route default gateway pp 1
NATの設定 nat descriptor type 1 masquerade
DNSの設定 dns server pp 1
dns private address spoof on
フィルターの設定 ip filter 1 pass 192.168.100.2,192.168.100.3 * * * *
ip filter 2 reject 192.168.100.4 * * * *
ip filter 101 reject 192.168.100.0/24 * * * *
ip filter 102 reject * 192.168.100.0/24 * * *
ip filter 110 reject * * udp,tcp 135 *
ip filter 111 reject * * udp,tcp * 135
ip filter 112 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 113 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 114 reject * * udp,tcp 445 *
ip filter 115 reject * * udp,tcp * 445
ip filter 116 restrict * * tcpfin * www,21,nntp
ip filter 117 restrict * * tcprst * www,21,nntp
ip filter 120 pass * 192.168.100.0/24 icmp * *
ip filter 121 pass * 192.168.100.0/24 tcp * ident
ip filter dynamic 1 192.168.100.2 * ftp
ip filter dynamic 2 192.168.100.2,192.168.100.3 * domain
ip filter dynamic 3 192.168.100.2 * www
ip filter dynamic 4 192.168.100.2,192.168.100.3 * smtp
ip filter dynamic 5 192.168.100.2,192.168.100.3 * pop3
ip filter dynamic 6 192.168.100.2,192.168.100.3 * submission
ip filter dynamic 7 192.168.100.2 * tcp
ip filter dynamic 8 192.168.100.2 * udp
pp select 1
ip pp secure filter in 101 110 111 112 113 114 115 120 121
ip pp secure filter out 102 110 111 112 113 114 115 116 117 1 2 dynamic 1 2 3 4 5 6 7 8
pp enable 1

IPフィルターの設定

PCごとに設定したIPフィルターについて解説します。
なお、本設定例では、すべてのPCからLANネットワークへのアクセスに制限はありませんので、LAN1に対してのIPフィルターは設定しません。
以下、WAN側へのアクセスを制限するIPフィルターです。

1.PC1 (IPアドレス:192.168.100.2) のIPフィルター
WANインターフェース(PP1)に適用するIPフィルターを設定します。

[OUT側]
ip filter 1 pass 192.168.100.2,192.168.100.3 * * * *
ip filter dynamic 1 192.168.100.2 * ftp
ip filter dynamic 2 192.168.100.2,192.168.100.3 * domain
ip filter dynamic 3 192.168.100.2 * www
ip filter dynamic 4 192.168.100.2,192.168.100.3 * smtp
ip filter dynamic 5 192.168.100.2,192.168.100.3 * pop3
ip filter dynamic 6 192.168.100.2,192.168.100.3 * submission
ip filter dynamic 7 192.168.100.2 * tcp
ip filter dynamic 8 192.168.100.2 * udp
[解説]
LAN側、WAN側共にすべてのアクセスが可能。
静的フィルターと動的フィルターを利用して、すべてのパケットを通過させます。

2.PC2 (IPアドレス:192.168.100.3) のIPフィルター
WANインターフェース(PP1)に適用するIPフィルターを設定します。

[OUT側]
ip filter 1 pass 192.168.100.2,192.168.100.3 * * * *
ip filter dynamic 2 192.168.100.2,192.168.100.3 * domain
ip filter dynamic 4 192.168.100.2,192.168.100.3 * smtp
ip filter dynamic 5 192.168.100.2,192.168.100.3 * pop3
ip filter dynamic 6 192.168.100.2,192.168.100.3 * submission
[解説]
WAN側ネットワークへはメールの送受信だけが可能。LAN側へのアクセス制限はなし。
動的フィルターで DNS と SMTP、POP3 を制御し、WAN側からの戻りパケットが通過するようにします。

3.PC3 (IPアドレス:192.168.100.4) のIPフィルター
WANインターフェース(PP1)に適用するIPフィルターを設定します。

[OUT側]
ip filter 2 reject 192.168.100.4 * * * *
[解説]
WAN側ネットワークへのアクセスは禁止。LAN側へのアクセス制限はなし。
静的フィルターによってすべてのパケットを遮断します。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。