- 追加された行はこの色です。
- 削除された行はこの色です。
*フィルタリング設定(RTX1100) [#h86a3bc7]
社内で運用する際、余計なアプリケーションの通信を制限したいこともあるかと思います。~
特に、持ち出し厳禁の資料等を社外に持ち出されたら、管理者の首がいくつあっても足りませんw
私は、こんなフィルタルールを作成していました。
**前提条件 [#l0be1861]
-192.168.0.120~192.168.0.160までが、制限したいIPアドレスの範囲その1
-192.168.0.235~192.168.0.245までが、制限したいIPアドレスの範囲その2
-111.111.111.111は、社外設置のメールサーバ
-222.222.222.222は、社外設置のメールサーバ
-333.333.333.333は、社外設置のメールサーバ
-社内のIPアドレス空間が、業務内容によって2種に分かれています。
-それぞれ、別の条件で制限が必要となっています
**フィルタルール [#v74751e4]
pp select 1
ip pp secure filter out 60000 60001 60002 60003 60004 60005
ip filter 60000 reject-nolog 192.168.0.120-192.168.0.160 * * * www,https
ip filter 60001 pass 192.168.0.120-192.168.0.160 111.111.111.111 * * *
ip filter 60002 reject 192.168.0.120-192.168.0.160 * * * *
ip filter 60003 reject-nolog 192.168.0.235-192.168.0.245 * * * www,https
ip filter 60004 pass 192.168.0.235-192.168.0.245 111.111.111.111,222.222.222.222,333.333.333.333 * * *
ip filter 60005 reject 192.168.0.235-192.168.0.245 * * * *
順番に説明すると
+左から順番に解釈されていきます。~
ip pp secure filter out 60000 60001 60002 60003 60004 60005
60000の条件にヒットしなければ、60001を評価と言った順です。
+192.168.0.120~192.168.0.160のアドレスにて、社外の任意アドレスのPCに対して、http(80),https(443)ポートへ接続しようとした場合、logに残さずパケットを破棄します。~
Webへのアクセスは、squid(Proxyサーバ)およびDnasguardian(コンテンツフィルタ)にて制限し、記録が取られているので、あえてルーターではログを取らないようにしています。~
ip filter 60000 reject-nolog 192.168.0.120-192.168.0.160 * * * www,20,21,22,https
+192.168.0.120~192.168.0.160のアドレスにて、社外の111.111.111.111のPCに対して、接続する場合は、無条件で通過させます。~
自社のメールサーバ&Webサーバへのアクセスは、無条件で通過させています。~
ip filter 60001 pass 192.168.0.120-192.168.0.160 111.111.111.111 * * *
+192.168.0.120~192.168.0.160のアドレスにて、社外の任意アドレスのPCに対して、任意のポートへ接続しようとした場合、logに記録してパケットを破棄します。~
予期しない制限されるべき通信は、全てログに記録しています。
ip filter 60002 reject 192.168.0.120-192.168.0.160 * * * *
+以下、192.168.0.235~192.168.0.245のアドレスにおいては、許可されるサーバが追加されているだけで、内容としては変わりません。
