NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

RTX1210とFWX120の動的フィルタと静的フィルタの考え方を理解するのに苦戦中

 こんばんは。今回はRTX1210とFWX120のパケットフィルタリングについて少し書いてみます。「YAMAHAのルータ・ファイアウォールでのパケットフィルタリングの記述方法や考え方には独特のクセがある」的なコメントをよく見かけます。

 LAN1とLAN2との間の通信制御を設定するとします。「受信」と「送信」の考え方に少々注意が必要ですね。私もハマりそうになりました。(^^;

 簡単な図を書いてみました。LAN1とLAN2が以下のようになっているとします。

[LAN1]-------○[RTX1210]○-------[LAN2]

    → LAN1からLAN2へ向かうパケット

 左側の○がLAN1側I/Fだとします。LAN1内端末からLAN2に向かうパケットをLAN1側I/Fが「受信」するので、「受信」(IN)と表現するようです。逆にLAN2からLAN1に向かうパケットは、LAN1側I/FからLAN1内端末に向けて「送信」するので、「送信」(OUT)と表現するようです。ここが混乱を引き起こす元凶なんですよね。(^^;

 と、「動的パケットだけではフィルタリングしない」という点にも注意が要るんですよね。動的フィルタと静的フィルタを組み合わせないといけないのも要注意事項ですよね。慣れていればいいのですが、そうでないと「あれ?どうだっけ?」になりがちなのでたいへんですね。(^^;

 追加ですが、「静的フィルタより動的フィルタの設定を優先する」という点もポイントですね。と、「トリガとなるパケットを通過させることが重要」ともありました。

YAMAHAのマニュアルページは後日リンクしておきます)

 仮に「LAN1からLAN2への通信は許可するが、LAN2からLAN1への通信は禁止する」とすると、少なくともLAN2からLAN1への通信は静的フィルタで禁止設定しておく必要があります。(動的フィルタが上書きしてくれるので、リプライパケットは通してくれます)

 トリガとなるパケットを通さないといけないことを考えると、LAN1からLAN2へ静的フィルタで許可しておく必要があるのかな?と思っています。このあたりもう少し調べてから記事を修正します。<(_ _)>