- FutureNet製品活用ガイド
- FutureNet NXR,VXRシリーズ
- NAT・フィルタ編
FutureNet
NXR,VXRシリーズ
NAT・フィルタ編
1. フィルタ設定
1-6. ブリッジフィルタ設定
ブリッジインタフェースで動作するフィルタの設定例です。ブリッジフィルタではMACアドレス、IPアドレス、VLAN IDなどを条件にレイヤ2レベルでのフィルタリングが可能です。
コンテンツ | ||||
構成図 | 設定例 | 設定例解説 | 端末の設定例 | 付録 |
【 構成図 】
- この設定例では、ブリッジインタフェースで登録したEthernet0インタフェースでフィルタを行います。
- 端末1とWWWサーバ間の通信(ARP,TCPポート番号80)を許可します。
- 端末3とSSHサーバ間の通信(ARP,TCPポート番号22)を許可します。
- その他端末からのルータ宛およびルータ経由の通信を破棄します。
【 設定例 】
Enter configuration commands, one per line. End with CNTL/Z.
nxrg100(config)#bridge access-list br0_eth0-forward-in permit 1 arp
nxrg100(config-bridge-acl)#sender-mac 00:80:6D:XX:XX:00
nxrg100(config-bridge-acl)#sender-ip 192.168.10.100
nxrg100(config-bridge-acl)#target-ip 192.168.10.10
nxrg100(config-bridge-acl)#exit
nxrg100(config)#bridge access-list br0_eth0-forward-in permit 2 arp
nxrg100(config-bridge-acl)#sender-mac 00:80:6D:XX:XX:02
nxrg100(config-bridge-acl)#sender-ip 192.168.10.102
nxrg100(config-bridge-acl)#target-ip 192.168.10.11
nxrg100(config-bridge-acl)#exit
nxrg100(config)#bridge access-list br0_eth0-forward-in permit 3 ip
nxrg100(config-bridge-acl)#mac source 00:80:6D:XX:XX:00
nxrg100(config-bridge-acl)#source 192.168.10.100
nxrg100(config-bridge-acl)#destination 192.168.10.10
nxrg100(config-bridge-acl)#protocol tcp
nxrg100(config-bridge-acl)#destination-port 80
nxrg100(config-bridge-acl)#exit
nxrg100(config)#bridge access-list br0_eth0-forward-in permit 4 ip
nxrg100(config-bridge-acl)#mac source 00:80:6D:XX:XX:02
nxrg100(config-bridge-acl)#source 192.168.10.102
nxrg100(config-bridge-acl)#destination 192.168.10.11
nxrg100(config-bridge-acl)#protocol tcp
nxrg100(config-bridge-acl)#destination-port 22
nxrg100(config-bridge-acl)#exit
nxrg100(config)#bridge access-list br0_eth0-forward-in deny 5 any any any
nxrg100(config)#bridge access-list br0_eth0-in deny 1 any any any
nxrg100(config)#interface bridge 0
nxrg100(config-bridge)#ip address 192.168.10.1/24
nxrg100(config-bridge)#bridge port 1 ethernet 0
nxrg100(config-bridge)#bridge port 2 ethernet 1
nxrg100(config-bridge)#bridge port 1 access-group in br0_eth0-in
nxrg100(config-bridge)#bridge port 1 access-group forward-in br0_eth0-forward-in
nxrg100(config-bridge)#exit
nxrg100(config)#exit
nxrg100#save config
【 設定例解説 】
1. <ブリッジアクセスリスト設定>
nxrg100(config-bridge-acl)#sender-mac 00:80:6D:XX:XX:00
nxrg100(config-bridge-acl)#sender-ip 192.168.10.100
nxrg100(config-bridge-acl)#target-ip 192.168.10.10
ブリッジアクセスリスト名をbr0_eth0-forward-in、シーケンス番号を1、EthernetタイプをARPとします。そして、送信元MACアドレス00:80:6D:XX:XX:00,送信元IPアドレス192.168.10.100,宛先IPアドレス192.168.10.10のフレームを許可します。
nxrg100(config-bridge-acl)#sender-mac 00:80:6D:XX:XX:02
nxrg100(config-bridge-acl)#sender-ip 192.168.10.102
nxrg100(config-bridge-acl)#target-ip 192.168.10.11
ブリッジアクセスリスト名をbr0_eth0-forward-in、シーケンス番号を2、EthernetタイプをARPとします。そして、送信元MACアドレス00:80:6D:XX:XX:02,送信元IPアドレス192.168.10.102,宛先IPアドレス192.168.10.11のフレームを許可します。
nxrg100(config-bridge-acl)#mac source 00:80:6D:XX:XX:00
nxrg100(config-bridge-acl)#source 192.168.10.100
nxrg100(config-bridge-acl)#destination 192.168.10.10
nxrg100(config-bridge-acl)#protocol tcp
nxrg100(config-bridge-acl)#destination-port 80
ブリッジアクセスリスト名をbr0_eth0-forward-in、シーケンス番号を3、EthernetタイプをIP(IPv4)とします。そして、送信元MACアドレス00:80:6D:XX:XX:00,送信元IPアドレス192.168.10.100,宛先IPアドレス192.168.10.10,宛先TCPポート番号80のフレームを許可します。
nxrg100(config-bridge-acl)#mac source 00:80:6D:XX:XX:02
nxrg100(config-bridge-acl)#source 192.168.10.102
nxrg100(config-bridge-acl)#destination 192.168.10.11
nxrg100(config-bridge-acl)#protocol tcp
nxrg100(config-bridge-acl)#destination-port 22
ブリッジアクセスリスト名をbr0_eth0-forward-in、シーケンス番号を4、EthernetタイプをIP(IPv4)とします。そして、送信元MACアドレス00:80:6D:XX:XX:02,送信元IPアドレス192.168.10.102,宛先IPアドレス192.168.10.11,宛先TCPポート番号22のフレームを許可します。
ブリッジアクセスリスト名をbr0_eth0-forward-in、シーケンス番号を5、Ethernetタイプ,送信元MAC,宛先MACアドレスanyのフレームを破棄します。
ブリッジアクセスリスト名をbr0_eth0-in、シーケンス番号を1、Ethernetタイプ,送信元MAC,宛先MACアドレスanyのフレームを破棄します。
(☞) これらブリッジアクセスリスト設定はbridge0インタフェース設定で登録します。
(☞) ブリッジアクセスリストを設定しただけではフィルタとして有効にはなりません。フィルタリングを行うインタフェースでの登録が必要になります。
2. <bridge0インタフェース設定>
nxrg100(config-bridge)#ip address 192.168.10.1/24
bridge0インタフェースのIPアドレスを設定します。
nxrg100(config-bridge)#bridge port 2 ethernet 1
ブリッジインタフェースで利用するインタフェースを設定します。
ブリッジアクセスリスト設定で設定したbr0_eth0-inをブリッジポート1(ethernet0インタフェース)のinフィルタに適用します。これによりブリッジポート1で受信したルータ自身宛のフレームに対してブリッジアクセスリストによるチェックが行われます。
ブリッジアクセスリスト設定で設定したbr0_eth0-forward-inをブリッジポート1(ethernet0インタフェース)のforward-inフィルタに適用します。これによりブリッジポート1で受信したルータが内部転送する(透過する)フレームに対してブリッジアクセスリストによるチェックが行われます。
【 端末の設定例 】
端末1 | 端末3 | WWWサーバ | SSHサーバ | |
IPアドレス | 192.168.10.100 | 192.168.10.102 | 192.168.10.10 | 192.168.10.11 |
サブネットマスク | 255.255.255.0 |
【 付録 】
目次
更新情報
→ 一覧へカテゴリ
タグ
- CRG
- DDNS
- DHCP
- DNAT
- DNSインターセプト
- Ethernet
- IIJモバイル
- IKE Modeconfig
- IKEv2 Configuration Payload
- IPinIP
- IPoE
- IPv6
- KDDI
- L2TPv3
- MAP-E
- NGN
- NTTドコモ
- PBR
- Policy Based IPsec
- PPP
- PPPoE
- QoS
- RADIUS連携
- RAシリーズ
- Route Based IPsec
- SMS
- SNAT
- SoftBank
- UPnP
- URL転送
- VLAN
- VRRP
- Web認証
- WiMAX
- コンフィグロールバック
- ネットイベント
- フィルタ
- ブリッジ
- モニタログ
- ワイモバイル
- 仮想スイッチ
- 冗長化
- 無線LAN