読者です 読者をやめる 読者になる 読者になる

NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

RTX1210でのフィルタリングについて検討中

 こんばんは。一昨日はRTX1210等における静的IPマスカレードについて書きました。これに直接関係する話題は後日書く予定にしています。

 今回はRTX1210等のYAMAHA製ルータorファイアウォールでのフィルタリングについて少し検討してみます。備忘録的になってしまうことは御容赦下さい。<(_ _)>

 今回やらせたいこととしては、以下の通りです。

  • 部門毎にVLANを分けたい
  • 有線と無線も分けたい
  • インターネットにはどのVLANからもアクセス出来る
  • 部門VLAN間の通信は拒否
  • 各部門VLANからDMZへのアクセスはOK

 あたりを想定しています。そこで、YAMAHAルータ等の設定例ページを探してみると、以下の事例がヒットしました。

部門毎に社内ネットワークを構成する « 設定例

 これを基に検討します。ここではLAN分割機能を用いていましが、タグVLAN機能を使っても同様の機能は実現出来ます。

 この設定例にあるように、LAN分割orタグVLANでVLANを定義します。そして、ISPへの経路設定(デフォルトルートがISPへ向かうように)とNATの設定を行います。

 そして、DHCPDNSに関する設定をしておきます。

 ここからが今回の本題になります。「どのようなフィルタリングを行うか?」に基づいて、個々のフィルタリングルールを作成します。たとえば、「192.168.100.0/24をはじめとするVLAN間通信は一切認めない」というようなルールを作るとします。この場合、以下のようになります。

ip filter 1020 reject 192.168.100.0/24 * 

ip filter 1021 reject 192.168.101.0/24 * 

ip filter 1022 reject 192.168.102.0/24 *

ip filter 1023 reject 192.168.103.0/24 *

ip filter 1024 reject 192.168.104.0/24 *

ip filter 1025 reject 192.168.105.0/24 *

ip filter 1026 reject 192.168.106.0/24 *

ip filter 1027 reject 192.168.107.0/24 *

ip filter 1040 reject * 192.168.100.0/24  

ip filter 1041 reject * 192.168.101.0/24 

ip filter 1042 reject * 192.168.102.0/24

ip filter 1043 reject * 192.168.103.0/24

ip filter 1044 reject * 192.168.104.0/24

ip filter 1045 reject * 192.168.105.0/24

ip filter 1046 reject * 192.168.106.0/24

ip filter 1047 reject * 192.168.107.0/24

ip filter 2000 reject * *

ip filter 3000 pass * *

 上記4種類のルールを作成します。たとえば192.168.100.0/24 --> 192.168.101.0/24 の方向と、192.168.101.0/24 --> 192.168.100.0/24 の両方向について考えてやります。

 ここで重要なのは、inとoutについてです。inというとLAN、outというとWANと考えがちですが、YAMAHAの機器の場合は、「in:インターフェースに入ってくる方向」「out:インターフェースから出て行く方向」であるということです。上記の事例ではVLAN1のインターフェースは192.168.100.1です。よって、「192.168.100.1に入ってくる場合はin」「192.168.100.1から出て行く場合はout」になります。

 この設定例を基にして以下の設定について説明します。

ip vlan1 secure filter in 1041 1042 1043 1044 1045 1046 1047 3000

ip vlan1 secure filter out 1021 1022 1023 1024 1025 1026 1027 3000

 VLAN1の場合を例に取ります。「192.168.100.0/24からインターネットには出られるが、192.168.101.0/24をはじめとする他のVLANには接続出来ない」という前提の「インターネットに出られる」という部分はここでは除きます。(後述します)

 inは「192.168.100.1に向けて入ってくるパケット」と考えます。192.168.101.0/24〜192.168.107.0/24が宛先となっているパケットを破棄する(水際で拒否する)必要があります。そのために、送信元が192.168.100.0/24となっていて、宛先が192.168.101.0/24〜192.168.107.0/24となっているパケットを破棄します。送信元アドレスを*でなく、個別のVLANを指定してもいいのですが、ルールセットが増えるということで流用可能な*にしているということになります。(ちょっとここが考えにくかったです。(^^;;)

 outは「192.168.100.1から出て行くパケット」になります。今度は逆に考えます。「送信元が192.168.100.0/24以外のパケットは破棄する」ということになります。たとえば、送信元アドレスが192.168.107.100から192.168.100.100へのパケットが192.168.100.1に届いたとします。192.168.107.0/24と192.168.100.0/24の間は通信不可設定です。ですので、このパケットはout側から出してはいけません。なので、この場合は1027のルールを適用する必要があります。

 このへんが混乱してしまう点ですね。ワイルドカードを上手に使うことでシンプルなルールセットになることも頭に置いておきたいところです。

 途中で触れましたが、インターネット側へのアクセス制御は以下のようになります。(各プロトコルとICMPに関するフィルタリングはここでは省略します)

ip pp secure filter in 1020 1021 1022 1023 1024 1025 1026 1027 2000 

ip pp secure filter out 3000