トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS

フィルタリング設定(RTX1100)

Last-modified: 2016-03-23 (水) 12:31:59 (574d)
Top / フィルタリング設定(RTX1100)

フィルタリング設定(RTX1100)

社内で運用する際、余計なアプリケーションの通信を制限したいこともあるかと思います。
特に、持ち出し厳禁の資料等を社外に持ち出されたら、管理者の首がいくつあっても足りませんw

私は、こんなフィルタルール(の一部)を作成していました。
※実際は、公開サーバ等があったので、途中にpassのルール追加してあります。

前提条件

  • 192.168.0.120~192.168.0.160までが、制限したいIPアドレスの範囲その1
  • 192.168.0.235~192.168.0.245までが、制限したいIPアドレスの範囲その2
  • 111.111.111.111は、社外設置のメールサーバ
  • 222.222.222.222は、社外設置のメールサーバ
  • 333.333.333.333は、社外設置のメールサーバ
  • 社内のIPアドレス空間が、業務内容によって2種に分かれています。
  • それぞれ、別の条件で制限が必要となっています

フィルタルール

pp select 1
 ip pp secure filter out 60000 60001 60002 60003 60004 60005 90000
ip filter 90000 reject * * * * *
ip filter 60000 reject-nolog 192.168.0.120-192.168.0.160 * * * www,https
ip filter 60001 pass 192.168.0.120-192.168.0.160 111.111.111.111 * * *
ip filter 60002 reject 192.168.0.120-192.168.0.160 * * * *
ip filter 60003 reject-nolog 192.168.0.235-192.168.0.245 * * * www,https
ip filter 60004 pass 192.168.0.235-192.168.0.245 111.111.111.111,222.222.222.222,333.333.333.333 * * *
ip filter 60005 reject 192.168.0.235-192.168.0.245 * * * *

順番に説明すると

  1. 左から順番に解釈されていきます。
    ip pp secure filter out 60000 60001 60002 60003 60004 60005
    60000の条件にヒットしなければ、60001を評価と言った順です。
  2. 192.168.0.120~192.168.0.160のアドレスにて、社外の任意アドレスのPCに対して、http(80),https(443)ポートへ接続しようとした場合、logに残さずパケットを破棄します。
    Webへのアクセスは、squid(Proxyサーバ)およびDnasguardian(コンテンツフィルタ)にて制限し、記録が取られているので、あえてルーターではログを取らないようにしています。
    ip filter 60000 reject-nolog 192.168.0.120-192.168.0.160 * * * www,20,21,22,https
  3. 192.168.0.120~192.168.0.160のアドレスにて、社外の111.111.111.111のPCに対して、接続する場合は、無条件で通過させます。
    自社のメールサーバ&Webサーバへのアクセスは、無条件で通過させています。
    ip filter 60001 pass 192.168.0.120-192.168.0.160 111.111.111.111 * * *
  4. 192.168.0.120~192.168.0.160のアドレスにて、社外の任意アドレスのPCに対して、任意のポートへ接続しようとした場合、logに記録してパケットを破棄します。
    予期しない制限されるべき通信は、全てログに記録しています。
    ip filter 60002 reject 192.168.0.120-192.168.0.160 * * * *
  5. 以下、192.168.0.235~192.168.0.245のアドレスにおいては、許可されるサーバが追加されているだけで、内容としては変わりません。
  6. 最後に、全アドレス空間にて、予期しない通信を全て破棄しています。
    ip filter 90000 reject * * * * *