NXR,VXRシリーズ

1-5. 通信別IPフィルタ設定

ここでは主な通信別にIPフィルタの設定例を紹介します。
なお、下記IPフィルタとは別に動的フィルタとしてステートフルパケットインスペクション機能もあります。この機能は主にWAN側インタフェースで利用します。ステートフルパケットインスペクション機能の設定例はこちら

 

ルータへのアクセス

• ルータへのTELNETアクセスを許可する
• ルータへのSSHアクセスを許可する
• ルータへのHTTPアクセスを許可する
• ルータへのICMPアクセスを許可する
• ルータへのICMPエコーリクエストを許可する
• WAN側からルータへのIPsecのネゴシエーションとトンネルを利用した通信を許可する(NATトラバーサルは除く)
• WAN側からルータへのIPsecのネゴシエーションとトンネルを利用した通信を許可する(NATトラバーサルのみ)
• WAN側からルータへのIPsecのネゴシエーションとトンネルを利用した通信を許可する(ESPプロトコルとNATトラバーサルの混在環境)
• WAN側からルータへのL2TPのネゴシエーションとトンネルを利用した通信を許可する(overUDPは除く)
• 指定した送信元MACアドレスからルータへのアクセスを許可する

 

ルータ経由の通信

• WAN側からLAN内のHTTPサーバへのアクセスを許可する
• WAN側からLAN内のSSHサーバへのアクセスを許可する
• WAN側からLAN内のサーバへのICMPアクセスを許可する
• WAN側からLAN内のIPsecサーバへのIPsec通信をパススルーする
• WAN側からLAN内のPPTPサーバへのPPTP通信をパススルーする
• LAN内の指定したMACアドレスを送信元とするルータ経由の通信を許可する

 

【 設定例 】

〔ルータへのアクセス〕

ルータへのアクセスを制御する場合、パケット受信インタフェースにおいて「ip access-group in」コマンドでIPアクセスリストを登録する必要があります。

 

<ルータへのTELNETアクセスを許可する>

全ての送信元IPアドレス,送信元ポート番号を許可する場合は、[送信元IPアドレス],[送信元ポート番号]に「any」を設定します。
ルータのIPアドレスが動的IPアドレスの場合は、[ルータのIPアドレス]に「any」を設定します。
(☞) ルータとの通信を暗号化したい場合は、SSHを利用する必要があります。(TELNETの通信は暗号化されていません)

 

<ルータへのSSHアクセスを許可する>

全ての送信元IPアドレス,送信元ポート番号を許可する場合は、[送信元IPアドレス],[送信元ポート番号]に「any」を設定します。
ルータのIPアドレスが動的IPアドレスの場合は、[ルータのIPアドレス]に「any」を設定します。
(☞) ssh-server portコマンドでSSHサーバのポート番号を変更した場合は、宛先ポート番号に変更後のポート番号を指定して下さい。

 

<ルータへのHTTPアクセスを許可する>

全ての送信元IPアドレス,送信元ポート番号を許可する場合は、[送信元IPアドレス],[送信元ポート番号]に「any」を設定します。
ルータのIPアドレスが動的IPアドレスの場合は、[ルータのIPアドレス]に「any」を設定します。

 

<ルータへのICMPアクセスを許可する>

全ての送信元IPアドレスを許可する場合は、[送信元IPアドレス]に「any」を設定します。
ルータのIPアドレスが動的IPアドレスの場合は、[ルータのIPアドレス]に「any」を設定します。

 

<ルータへのICMPエコーリクエストを許可する>

全ての送信元IPアドレスを許可する場合は、[送信元IPアドレス]に「any」を設定します。
ルータのIPアドレスが動的IPアドレスの場合は、[ルータのIPアドレス]に「any」を設定します。
(☞) ICMPではタイプとコードを指定することができます。なおタイプ8コード0はICMPエコーリクエストを表しています。

 

<WAN側からルータへのIPsecのネゴシエーションとトンネルを利用した通信を許可する(NATトラバーサルは除く)>

対向機器のIPアドレスが動的IPアドレスの場合は、[対向機器のIPアドレス]に「any」を設定します。
ルータのIPアドレスが動的IPアドレスの場合は、[ルータのIPアドレス]に「any」を設定します。

 

<WAN側からルータへのIPsecのネゴシエーションとトンネルを利用した通信を許可する(NATトラバーサルのみ)>

対向機器のIPアドレスが動的IPアドレスの場合や全ての送信元ポート番号を許可する場合は、[対向機器のIPアドレス],[対向機器の送信元ポート番号]に「any」を設定します。
ルータのIPアドレスが動的IPアドレスの場合は、[ルータのIPアドレス]に「any」を設定します。

 

<WAN側からルータへのIPsecのネゴシエーションとトンネルを利用した通信を許可する(ESPプロトコルとNATトラバーサルの混在環境)>

対向機器のIPアドレスが動的IPアドレスの場合や全ての送信元ポート番号を許可する場合は、[対向機器のIPアドレス],[対向機器の送信元ポート番号]に「any」を設定します。
ルータのIPアドレスが動的IPアドレスの場合は、[ルータのIPアドレス]に「any」を設定します。
(☞) ESPプロトコルの場合は1,3行目の設定を、NATトラバーサルの場合は1,2行目の設定を利用します。

 

<WAN側からルータへのL2TPのネゴシエーションとトンネルを利用した通信を許可する(overUDPは除く)>

対向機器のIPアドレスが動的IPアドレスの場合は、[対向機器のIPアドレス]に「any」を設定します。
ルータのIPアドレスが動的IPアドレスの場合は、[ルータのIPアドレス]に「any」を設定します。

 

<指定した送信元MACアドレスからルータへのアクセスを許可する>

送信元IPアドレスを指定しない場合は、「any」を設定します。

 

〔ルータ経由の通信〕

ルータ経由の通信を制御する場合、パケット受信インタフェースにおいて「ip access-group forward-in」コマンドでIPアクセスリストを登録する必要があります。

 

<WAN側からLAN内のHTTPサーバへのアクセスを許可する>

全ての送信元IPアドレス,送信元ポート番号を許可する場合は、[送信元IPアドレス],[送信元ポート番号]に「any」を設定します。
(☞) NATを合わせて設定する場合、設定例はこちら

 

<WAN側からLAN内のSSHサーバへのアクセスを許可する>

全ての送信元IPアドレス,送信元ポート番号を許可する場合は、[送信元IPアドレス],[送信元ポート番号]に「any」を設定します。
(☞) NATを合わせて設定する場合、設定例はこちら

 

<WAN側からLAN内のサーバへのICMPアクセスを許可する>

全ての送信元IPアドレスを許可する場合は、[送信元IPアドレス]に「any」を設定します。
(☞) NATを合わせて設定する場合、設定例はこちら

 

<WAN側からLAN内のIPsecサーバへのIPsec通信をパススルーする>

全ての送信元IPアドレス,送信元ポート番号を許可する場合は、[送信元IPアドレス],[送信元ポート番号]に「any」を設定します。
(☞) NATを合わせて設定する場合、設定例はこちら
(☞) ESPプロトコルとNATトラバーサルの混在環境を想定しています。
(☞) 3行目の設定の「50」はESPのプロトコル番号を表しています。

 

<WAN側からLAN内のPPTPサーバへのPPTP通信をパススルーする>

全ての送信元IPアドレス,送信元ポート番号を許可する場合は、[送信元IPアドレス],[送信元ポート番号]に「any」を設定します。
(☞) NATを合わせて設定する場合、設定例はこちら
(☞) 2行目の設定の「47」はGREのプロトコル番号を表しています。

 

<LAN内の指定したMACアドレスを送信元とするルータ経由の通信を許可する>

送信元IPアドレスを指定しない場合は、「any」を設定します。