FutureNet

NXR,VXRシリーズ

NAT・フィルタ編

1. フィルタ設定

1-1. 入力(in)フィルタ設定

ルータへのアクセスをフィルタで制御する設定例です。この例ではルータに対して特定のIPアドレスからのTELNETアクセスは許可するが、それ以外のIPアドレスからのTELNETアクセスは破棄します。

 

コンテンツ
構成図 設定フロー 設定例 設定例解説 端末の設定例 付録

 

【 構成図 】

  • 入力フィルタでは、ルータ宛に送信されたパケットのうちルータ自身で受信し処理するものが対象となります。

 

【 設定フロー 】

【 設定例 】

nxrg100#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
nxrg100(config)#ip access-list eth0_in permit 192.168.10.100 192.168.10.1 tcp any 23
nxrg100(config)#ip access-list eth0_in deny any 192.168.10.1 tcp any 23
nxrg100(config)#interface ethernet 0
nxrg100(config-if)#ip address 192.168.10.1/24
nxrg100(config-if)#ip access-group in eth0_in
nxrg100(config-if)#exit
nxrg100(config)#exit
nxrg100#save config

 

【 設定例解説 】

1. <IPアクセスリスト設定>
nxrg100(config)#ip access-list eth0_in permit 192.168.10.100 192.168.10.1 tcp any 23

フィルタの動作を規定するルールリストを作成します。
IPアクセスリスト名をeth0_inとします。そして送信元IPアドレス192.168.10.100,宛先IPアドレス192.168.10.1,宛先TCPポート番号23のパケットを許可します。

nxrg100(config)#ip access-list eth0_in deny any 192.168.10.1 tcp any 23

IPアクセスリスト名をeth0_inとします。そして宛先IPアドレス192.168.10.1,宛先TCPポート番号23のパケットを破棄します。
(☞) IPアクセスリストを設定しただけでは、フィルタとして有効にはなりません。フィルタリングを行うインタフェースでの登録が必要になります。

 

2. <ethernet0インタフェース設定>
nxrg100(config)#interface ethernet 0
nxrg100(config-if)#ip address 192.168.10.1/24

ethernet0インタフェースのIPアドレスを設定します。

nxrg100(config-if)#ip access-group in eth0_in

IPアクセスリストeth0_inをinフィルタに適用します。これによりethernet0インタフェースで受信したルータ自身宛のパケットに対してIPアクセスリストによるチェックが行われます。

 

【 端末の設定例 】

端末1 端末2
IPアドレス 192.168.10.100 192.168.10.101
サブネットマスク 255.255.255.0

 

【 付録 】