NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

RTX1210とFWX120の動的フィルタと静的フィルタをようやく克服する(1)

 こんばんは。なかなか理解しづらかったYAMAHA RTX1210やFWX120などのパケットフィルタリングについて、ようやく克服出来ました。ただ、シンプルに書けたかどうかはもう少し吟味しないといけないと思われますので、「なんとか間違いなく動いた」というレベルかもしれません。

 今までは、複数のVLAN間通信を相互に禁止するというフィルタは書きました。これは静的フィルタだけで実現出来ますので、さほど頭を悩ますことはありませんでした。

 フィルタリングルールを書いて、それぞれのVLANに対してin側に適用すれば相互に通信を禁止することが出来ますので、ルールとしてはそんなに難しい話ではなかったです。(その前に、YAMAHAルータやFWにおけるinとoutの定義を理解するのにちょっと時間がかかりました。I/F側にパケットが入ってくる方向をin(受信)、逆にI/F側からパケットが出て行く方向をout(送信)というのを理解するのに若干苦労しました。)

 ここでの事例ですが、VLAN10とVLAN20があるとします。VLAN10--->VLAN20へは全てのtcpudp通信を通すけども、逆は一切拒否するという設定だとします。

 ここで頭を悩ませたのは、「動的フィルタだけでは一切フィルタリングをしてくれない」でした。「VLAN10--->VLAN20へ通す動的フィルタだけではダメで、静的フィルタも書いてやらないといけない」という説明に、「???」となりました。

 この場合、まずVLAN20--->VLAN10への通信を全て拒否する静的フィルタを書いてやります。そして、VLAN10--->VLAN20へのtcp及びudpを全て通す静的フィルタも書いておきます。一見不要なようにも思えますが、ステートフルインスペクション通信を行わせるためのトリガとなる最初のパケットを通すために、静的フィルタが必要なのだそうです。この状態では、前者の静的フィルタでリプライパケットは拒否されるので、通信は成立しません。動的フィルタと前者の静的フィルタだけでは、最初のパケットが通りません。

 そこで、動的フィルタの出番になります。ここでVLAN10--->VLAN20へのtcp及びudpを全て通す動的フィルタを書きます。動的フィルタは静的フィルタより優先されますので、リプライパケットは静的フィルタを上書きした動的フィルタによって通過してくれます。

 ここで問題になってくるのは、動的フィルタが対応しているのはtcpudpパケットだけです。このままではicmpパケットが通りません。ということは、pingが打てません。さすがにこれは困ります。このへんについては次回お送りします。少々お待ち下さい。