管理番号:YMHRT-4512
本設定例の対応機種は、RTX1300、RTX1220、RTX1210です。
本設定例では、上記構成におけるIPフィルターの解説と設定方法を紹介します。
IPフィルターの詳細については、技術情報をご覧ください。
技術情報:ファイアウォール機能
| インターフェース | 方向 | 評価順 | フィルター番号 | 動作 | 送信元IPアドレス | 宛先IPアドレス | プロトコル | 送信元 ポート 番号 |
宛先 ポート 番号 |
|---|---|---|---|---|---|---|---|---|---|
| LAN1 | 受信 | 1 | 100100 | 通過 | 192.168.100.2 | 192.168.100.1, 192.168.101.1 |
tcp | 任意 | www |
| | | | | 2 | 100101 | 破棄 | 任意 | 192.168.100.1, 192.168.101.1 |
tcp | 任意 | www |
| | | | | 3 | 100102 | 通過 | 任意 | 任意 | 任意 | 任意 | 任意 |
| インターフェース | 方向 | 評価順 | フィルター番号 | 動作 | 送信元IPアドレス | 宛先IPアドレス | プロトコル | 送信元 ポート 番号 |
宛先 ポート 番号 |
|---|---|---|---|---|---|---|---|---|---|
| LAN2 | 受信 | 1(※) | 101100 | 破棄 | 任意 | 任意 | 任意 | 任意 | 任意 |
| LAN2 | 送信 | 1(※) | 101101 | 通過 | 任意 | 任意 | 任意 | 任意 | 任意 |
| インターフェース | 方向 | 評価順 | フィルター番号 | 送信元IPアドレス | 宛先IPアドレス | プロトコル |
|---|---|---|---|---|---|---|
| LAN2 | 送信 | 1 | 101100 | 192.168.100.2- 192.168.100.4 |
192.168.101.254 | ftp |
| | | | | 2 | 101101 | 192.168.100.0/24 | 192.168.101.254 | www |
(※) 動的フィルターのエントリーが作成されている場合は、動的フィルターが先に評価されます。
| インターフェース | 方向 | IPフィルターの説明 |
|---|---|---|
| LAN1 | 受信 | 192.168.100.2の端末からルーターのWeb GUIへ向かうパケットは通過。 192.168.100.2以外の端末からルーターのWeb GUIへ向かうパケットは破棄。 ここまでの条件にマッチしないパケットはすべて通過。 |
| LAN1 | 送信 | IPフィルターなし。パケットはすべて通過。 |
| LAN2 | 受信 | パケットはすべて破棄。ただし、LAN2 送信方向 で、動的フィルターのエントリーが作成されている場合は、該当するセッションのパケットのみ通過可能。 |
| LAN2 | 送信 | パケットはすべて通過。192.168.101.254へ向かうFTPやWWWのパケットがある場合、動的フィルターのエントリーを作成。 |
各インターフェースに、Web GUIにて下記の手順でIPフィルターを設定します。
ルーターには、事前に以下のコンフィグが設定されていることとします。
| コンフィグ |
|---|
| ip lan1 address 192.168.100.1/24 |
| ip lan2 address 192.168.101.1/24 |
| dhcp service server |
| dhcp scope 1 192.168.100.5-192.168.100.191/24 |
| インターフェース | 方向 | 評価順 | フィルター番号 | 動作 | 送信元IPアドレス | 宛先IPアドレス | プロトコル | 送信元 ポート 番号 |
宛先 ポート 番号 |
|---|---|---|---|---|---|---|---|---|---|
| LAN1 | 受信 | 1 | 100100 | 通過 | 192.168.100.2 | 192.168.100.1, 192.168.101.1 |
tcp | 任意 | www |
| | | | | 2 | 100101 | 破棄 | 任意 | 192.168.100.1, 192.168.101.1 |
tcp | 任意 | www |
| | | | | 3 | 100102 | 通過 | 任意 | 任意 | 任意 | 任意 | 任意 |
1. ルーターの設定画面を開きます。
2.「詳細設定」をクリックします。
3.「IPフィルター」をクリックします。
4.「インターフェース / LAN1」の「確認」をクリックします。
5.「受信方向のフィルターを表示」となっていることを確認して、「静的フィルター」の「編集」をクリックします。
6. 下記の静的フィルターを定義します。
「静的フィルター」の「新規」をクリックします。
| インターフェース | 方向 | 評価順 | フィルター番号 | 動作 | 送信元IPアドレス | 宛先IPアドレス | プロトコル | 送信元 ポート 番号 |
宛先 ポート 番号 |
|---|---|---|---|---|---|---|---|---|---|
| LAN1 | 受信 | 1 | 100100 | 通過 | 192.168.100.2 | 192.168.100.1, 192.168.101.1 |
tcp | 任意 | www |
| | | | | 2 | 100101 | 破棄 | 任意 | 192.168.100.1, 192.168.101.1 |
tcp | 任意 | www |
| | | | | 3 | 100102 | 通過 | 任意 | 任意 | 任意 | 任意 | 任意 |
7.「静的フィルターの設定」の各項目を入力して、「確認」をクリックします。
| 番号 | 100100 |
|---|---|
| タイプ | pass(ログなし) |
| プロトコル | TCP |
| 送信元IPアドレス | 192.168.100.2 |
| 送信元ポート番号 | * |
| 宛先IPアドレス | 192.168.100.1,192.168.101.1 |
| 宛先ポート番号 | www |
8. 入力内容を確認して、問題がなければ「設定の確定」をクリックします。
9. 静的フィルター(フィルター番号:100100) が定義されました。
続いて、下記の静的フィルターを定義します。「静的フィルター」の「新規」をクリックします。
| インターフェース | 方向 | 評価順 | フィルター番号 | 動作 | 送信元IPアドレス | 宛先IPアドレス | プロトコル | 送信元 ポート 番号 |
宛先 ポート 番号 |
|---|---|---|---|---|---|---|---|---|---|
| LAN1 | 受信 | 1 | 100100 | 通過 | 192.168.100.2 | 192.168.100.1, 192.168.101.1 |
tcp | 任意 | www |
| | | | | 2 | 100101 | 破棄 | 任意 | 192.168.100.1, 192.168.101.1 |
tcp | 任意 | www |
| | | | | 3 | 100102 | 通過 | 任意 | 任意 | 任意 | 任意 | 任意 |
10.「静的フィルターの設定」の各項目を入力して、「確認」をクリックします。
| 番号 | 100101 |
|---|---|
| タイプ | reject(ログあり) |
| プロトコル | TCP |
| 送信元IPアドレス | * |
| 送信元ポート番号 | * |
| 宛先IPアドレス | 192.168.100.1,192.168.101.1 |
| 宛先ポート番号 | www |
11. 入力内容を確認して、問題がなければ「設定の確定」をクリックします。
12. 静的フィルター(フィルター番号:100101) が定義されました。
続いて、下記の静的フィルターを定義します。「静的フィルター」の「新規」をクリックします。
| インターフェース | 方向 | 評価順 | フィルター番号 | 動作 | 送信元IPアドレス | 宛先IPアドレス | プロトコル | 送信元 ポート 番号 |
宛先 ポート 番号 |
|---|---|---|---|---|---|---|---|---|---|
| LAN1 | 受信 | 1 | 100100 | 通過 | 192.168.100.2 | 192.168.100.1, 192.168.101.1 |
tcp | 任意 | www |
| | | | | 2 | 100101 | 破棄 | 任意 | 192.168.100.1, 192.168.101.1 |
tcp | 任意 | www |
| | | | | 3 | 100102 | 通過 | 任意 | 任意 | 任意 | 任意 | 任意 |
13.「静的フィルターの設定」の各項目を入力して、「確認」をクリックします。
| 番号 | 100102 |
|---|---|
| タイプ | pass(ログなし) |
| プロトコル | (省略) |
| 送信元IPアドレス | (省略) |
| 送信元ポート番号 | (省略) |
| 宛先IPアドレス | (省略) |
| 宛先ポート番号 | (省略) |
14. 入力内容を確認して、問題がなければ「設定の確定」をクリックします。
15. 静的フィルター(フィルター番号:100102) が定義されました。
続いて、静的フィルターの定義を LAN1 受信方向 に適用します。
評価順1 から順番に静的フィルターの定義を選び、「LAN1に適用する静的フィルター」に Drag and Dropします。
| インターフェース | 方向 | 評価順 | フィルター番号 | 動作 | 送信元IPアドレス | 宛先IPアドレス | プロトコル | 送信元 ポート 番号 |
宛先 ポート 番号 |
|---|---|---|---|---|---|---|---|---|---|
| LAN1 | 受信 | 1 | 100100 | 通過 | 192.168.100.2 | 192.168.100.1, 192.168.101.1 |
tcp | 任意 | www |
| | | | | 2 | 100101 | 破棄 | 任意 | 192.168.100.1, 192.168.101.1 |
tcp | 任意 | www |
| | | | | 3 | 100102 | 通過 | 任意 | 任意 | 任意 | 任意 | 任意 |
16.「確認」をクリックします。
17. 入力内容を確認して、問題がなければ「設定の確定」をクリックします。
18. 静的フィルター(フィルター番号:100100, 100101, 100102) が適用されました。
「IPフィルター」をクリックします。
LAN1 受信方向 のIPフィルターとして、下記のコンフィグが設定されました。
| コンフィグ(IPフィルターの定義) |
|---|
| ip filter 100100 pass 192.168.100.2 192.168.100.1,192.168.101.1 tcp * www |
| ip filter 100101 reject * 192.168.100.1,192.168.101.1 tcp * www |
| ip filter 100102 pass * * * * * |
| コンフィグ(インターフェースへのIPフィルターの適用) |
|---|
| ip lan1 secure filter in 100100 100101 100102 |
| インターフェース | 方向 | 評価順 | フィルター番号 | 動作 | 送信元IPアドレス | 宛先IPアドレス | プロトコル | 送信元 ポート 番号 |
宛先 ポート 番号 |
|---|---|---|---|---|---|---|---|---|---|
| LAN2 | 受信 | 1(※) | 101100 | 破棄 | 任意 | 任意 | 任意 | 任意 | 任意 |
(※) 動的フィルターのエントリーが作成されている場合は、動的フィルターが先に評価されます。
1.「インターフェース / LAN2」の「確認」をクリックします。
2.「受信方向のフィルターを表示」となっていることを確認して、「静的フィルター」の「編集」をクリックします。
3. 下記の静的フィルターを定義します。
「静的フィルター」の「新規」をクリックします。
| インターフェース | 方向 | 評価順 | フィルター番号 | 動作 | 送信元IPアドレス | 宛先IPアドレス | プロトコル | 送信元 ポート 番号 |
宛先 ポート 番号 |
|---|---|---|---|---|---|---|---|---|---|
| LAN2 | 受信 | 1(※) | 101100 | 破棄 | 任意 | 任意 | 任意 | 任意 | 任意 |
(※) 動的フィルターのエントリーが作成されている場合は、動的フィルターが先に評価されます。
4.「静的フィルターの設定」の各項目を入力して、「確認」をクリックします。
| 番号 | 101100 |
|---|---|
| タイプ | reject(ログあり) |
| プロトコル | (省略) |
| 送信元IPアドレス | (省略) |
| 送信元ポート番号 | (省略) |
| 宛先IPアドレス | (省略) |
| 宛先ポート番号 | (省略) |
5. 入力内容を確認して、問題がなければ「設定の確定」をクリックします。
6. 静的フィルター(フィルター番号:101100) が定義されました。
続いて、静的フィルターの定義を LAN2 受信方向 に適用します。
静的フィルターの定義を選び、「LAN2に適用する静的フィルター」に Drag and Dropします。
| インターフェース | 方向 | 評価順 | フィルター番号 | 動作 | 送信元IPアドレス | 宛先IPアドレス | プロトコル | 送信元 ポート 番号 |
宛先 ポート 番号 |
|---|---|---|---|---|---|---|---|---|---|
| LAN2 | 受信 | 1(※) | 101100 | 破棄 | 任意 | 任意 | 任意 | 任意 | 任意 |
(※) 動的フィルターのエントリーが作成されている場合は、動的フィルターが先に評価されます。
7.「確認」をクリックします。
8. 入力内容を確認して、問題がなければ「設定の確定」をクリックします。
9. 静的フィルター(フィルター番号:101100) が適用されました。
「戻る」をクリックします。
LAN2 受信方向 のIPフィルターとして、下記のコンフィグが設定されました。
| コンフィグ(IPフィルターの定義) |
|---|
| ip filter 101100 reject * * * * * |
| コンフィグ(インターフェースへのIPフィルターの適用) |
|---|
| ip lan2 secure filter in 101100 |
| インターフェース | 方向 | 評価順 | フィルター番号 | 動作 | 送信元IPアドレス | 宛先IPアドレス | プロトコル | 送信元 ポート 番号 |
宛先 ポート 番号 |
|---|---|---|---|---|---|---|---|---|---|
| LAN2 | 送信 | 1(※) | 101101 | 通過 | 任意 | 任意 | 任意 | 任意 | 任意 |
| インターフェース | 方向 | 評価順 | フィルター番号 | 送信元IPアドレス | 宛先IPアドレス | プロトコル |
|---|---|---|---|---|---|---|
| LAN2 | 送信 | 1 | 101100 | 192.168.100.2- 192.168.100.4 |
192.168.101.254 | ftp |
| | | | | 2 | 101101 | 192.168.100.0/24 | 192.168.101.254 | www |
(※) 動的フィルターのエントリーが作成されている場合は、動的フィルターが先に評価されます。
1.「送信方向のフィルターを表示」を選択します。
2.「静的フィルター」の「編集」をクリックします。
3. 下記の静的フィルターを定義します。
「静的フィルター」の「新規」をクリックします。
| インターフェース | 方向 | 評価順 | フィルター番号 | 動作 | 送信元IPアドレス | 宛先IPアドレス | プロトコル | 送信元 ポート 番号 |
宛先 ポート 番号 |
|---|---|---|---|---|---|---|---|---|---|
| LAN2 | 送信 | 1(※) | 101101 | 通過 | 任意 | 任意 | 任意 | 任意 | 任意 |
(※) 動的フィルターのエントリーが作成されている場合は、動的フィルターが先に評価されます。
4.「静的フィルターの設定」の各項目を入力して、「確認」をクリックします。
| 番号 | 101101 |
|---|---|
| タイプ | pass(ログなし) |
| プロトコル | (省略) |
| 送信元IPアドレス | (省略) |
| 送信元ポート番号 | (省略) |
| 宛先IPアドレス | (省略) |
| 宛先ポート番号 | (省略) |
5. 入力内容を確認して、問題がなければ「設定の確定」をクリックします。
6. 静的フィルター(フィルター番号:101101) が定義されました。
続いて、静的フィルターの定義を LAN2 送信方向 に適用します。
静的フィルターの定義を選び、「LAN2に適用する静的フィルター」に Drag and Dropします。
| インターフェース | 方向 | 評価順 | フィルター番号 | 動作 | 送信元IPアドレス | 宛先IPアドレス | プロトコル | 送信元 ポート 番号 |
宛先 ポート 番号 |
|---|---|---|---|---|---|---|---|---|---|
| LAN2 | 送信 | 1(※) | 101101 | 通過 | 任意 | 任意 | 任意 | 任意 | 任意 |
(※) 動的フィルターのエントリーが作成されている場合は、動的フィルターが先に評価されます。
7.「確認」をクリックします。
8. 入力内容を確認して、問題がなければ「設定の確定」をクリックします。
9. 静的フィルター(フィルター番号:101101) が適用されました。
「戻る」をクリックします。
10.「動的フィルター」の「編集」をクリックします。
11. 下記の動的フィルターを定義します。
「動的フィルター」の「新規」をクリックします。
| インターフェース | 方向 | 評価順 | フィルター番号 | 送信元IPアドレス | 宛先IPアドレス | プロトコル |
|---|---|---|---|---|---|---|
| LAN2 | 送信 | 1 | 101100 | 192.168.100.2- 192.168.100.4 |
192.168.101.254 | ftp |
| | | | | 2 | 101101 | 192.168.100.0/24 | 192.168.101.254 | www |
12.「動的フィルターの設定」の各項目を入力して、「確認」をクリックします。
| 番号 | 101100 |
|---|---|
| プロトコル/ルール | プロトコルを指定 > FTP |
| 送信元IPアドレス | 192.168.100.2-192.168.100.4 |
| 宛先IPアドレス | 192.168.101.254 |
13. 入力内容を確認して、問題がなければ「設定の確定」をクリックします。
14. 動的フィルター(フィルター番号:101100) が定義されました。
続いて、下記の動的フィルターを定義します。「動的フィルター」の「新規」をクリックします。
| インターフェース | 方向 | 評価順 | フィルター番号 | 送信元IPアドレス | 宛先IPアドレス | プロトコル |
|---|---|---|---|---|---|---|
| LAN2 | 送信 | 1 | 101100 | 192.168.100.2- 192.168.100.4 |
192.168.101.254 | ftp |
| | | | | 2 | 101101 | 192.168.100.0/24 | 192.168.101.254 | www |
15.「動的フィルターの設定」の各項目を入力して、「確認」をクリックします。
| 番号 | 101101 |
|---|---|
| プロトコル/ルール | プロトコルを指定 > WWW |
| 送信元IPアドレス | 192.168.100.0/24 |
| 宛先IPアドレス | 192.168.101.254 |
16. 入力内容を確認して、問題がなければ「設定の確定」をクリックします。
17. 動的フィルター(フィルター番号:101101) が定義されました。
続いて、追加した動的フィルターの定義を LAN2 送信方向 に適用します。
評価順1 から順番に動的フィルターの定義を選び、「LAN2に適用する動的フィルター」に Drag and Dropします。
| インターフェース | 方向 | 評価順 | フィルター番号 | 送信元IPアドレス | 宛先IPアドレス | プロトコル |
|---|---|---|---|---|---|---|
| LAN2 | 送信 | 1 | 101100 | 192.168.100.2- 192.168.100.4 |
192.168.101.254 | ftp |
| | | | | 2 | 101101 | 192.168.100.0/24 | 192.168.101.254 | www |
18.「確認」をクリックします。
19. 入力内容を確認して、問題がなければ「設定の確定」をクリックします。
20. 動的フィルター(フィルター番号:101100, 101101) が適用されました。
「IPフィルター」をクリックします。
LAN2 送信方向 のIPフィルターとして、下記のコンフィグが設定されました。
| コンフィグ(IPフィルターの定義) |
|---|
| ip filter 101101 pass * * * * * |
| ip filter dynamic 101100 192.168.100.2-192.168.100.4 192.168.101.254 ftp |
| ip filter dynamic 101101 192.168.100.0/24 192.168.101.254 www |
| コンフィグ(インターフェースへのIPフィルターの適用) |
|---|
| ip lan2 secure filter out 101101 dynamic 101100 101101 |
21. 以上で、IPフィルターの設定が完了しました。
本設定例の手順で、以下のコンフィグが設定されます。
| インターフェース | 方向 | 評価順 | フィルター番号 | 動作 | 送信元IPアドレス | 宛先IPアドレス | プロトコル | 送信元 ポート 番号 |
宛先 ポート 番号 |
|---|---|---|---|---|---|---|---|---|---|
| LAN1 | 受信 | 1 | 100100 | 通過 | 192.168.100.2 | 192.168.100.1, 192.168.101.1 |
tcp | 任意 | www |
| | | | | 2 | 100101 | 破棄 | 任意 | 192.168.100.1, 192.168.101.1 |
tcp | 任意 | www |
| | | | | 3 | 100102 | 通過 | 任意 | 任意 | 任意 | 任意 | 任意 |
| インターフェース | 方向 | 評価順 | フィルター番号 | 動作 | 送信元IPアドレス | 宛先IPアドレス | プロトコル | 送信元 ポート 番号 |
宛先 ポート 番号 |
|---|---|---|---|---|---|---|---|---|---|
| LAN2 | 受信 | 1(※) | 101100 | 破棄 | 任意 | 任意 | 任意 | 任意 | 任意 |
| LAN2 | 送信 | 1(※) | 101101 | 通過 | 任意 | 任意 | 任意 | 任意 | 任意 |
| インターフェース | 方向 | 評価順 | フィルター番号 | 送信元IPアドレス | 宛先IPアドレス | プロトコル |
|---|---|---|---|---|---|---|
| LAN2 | 送信 | 1 | 101100 | 192.168.100.2- 192.168.100.4 |
192.168.101.254 | ftp |
| | | | | 2 | 101101 | 192.168.100.0/24 | 192.168.101.254 | www |
(※) 動的フィルターのエントリーが作成されている場合は、動的フィルターが先に評価されます。
| コンフィグ(IPフィルターの定義) |
|---|
| ip filter 100100 pass 192.168.100.2 192.168.100.1,192.168.101.1 tcp * www |
| ip filter 100101 reject * 192.168.100.1,192.168.101.1 tcp * www |
| ip filter 100102 pass * * * * * |
| ip filter 101100 reject * * * * * |
| ip filter 101101 pass * * * * * |
| ip filter dynamic 101100 192.168.100.2-192.168.100.4 192.168.101.254 ftp |
| ip filter dynamic 101101 192.168.100.0/24 192.168.101.254 www |
| コンフィグ(インターフェースへのIPフィルターの適用) |
|---|
| ip lan1 secure filter in 100100 100101 100102 |
| ip lan2 secure filter in 101100 |
| ip lan2 secure filter out 101101 dynamic 101100 101101 |
※IPフィルターの適用では、フィルター番号の大小に関わらず、記述順序(左から右へ)がIPフィルターの評価順となります。
ご相談・お問い合わせ