フィルタリング設定(RTX1100)

Last-modified: 2016-03-23 (水) 12:31:59 (2948d)

Top / フィルタリング設定(RTX1100)

フィルタリング設定(RTX1100) †

社内で運用する際、余計なアプリケーションの通信を制限したいこともあるかと思います。
特に、持ち出し厳禁の資料等を社外に持ち出されたら、管理者の首がいくつあっても足りませんw

私は、こんなフィルタルール(の一部)を作成していました。
※実際は、公開サーバ等があったので、途中にpassのルール追加してあります。

↑

前提条件 †

192.168.0.120～192.168.0.160までが、制限したいIPアドレスの範囲その1
192.168.0.235～192.168.0.245までが、制限したいIPアドレスの範囲その2
111.111.111.111は、社外設置のメールサーバ
222.222.222.222は、社外設置のメールサーバ
333.333.333.333は、社外設置のメールサーバ

社内のIPアドレス空間が、業務内容によって2種に分かれています。
それぞれ、別の条件で制限が必要となっています

↑

フィルタルール †

pp select 1
 ip pp secure filter out 60000 60001 60002 60003 60004 60005 90000

ip filter 90000 reject * * * * *
ip filter 60000 reject-nolog 192.168.0.120-192.168.0.160 * * * www,https
ip filter 60001 pass 192.168.0.120-192.168.0.160 111.111.111.111 * * *
ip filter 60002 reject 192.168.0.120-192.168.0.160 * * * *
ip filter 60003 reject-nolog 192.168.0.235-192.168.0.245 * * * www,https
ip filter 60004 pass 192.168.0.235-192.168.0.245 111.111.111.111,222.222.222.222,333.333.333.333 * * *
ip filter 60005 reject 192.168.0.235-192.168.0.245 * * * *

順番に説明すると

左から順番に解釈されていきます。
```
ip pp secure filter out 60000 60001 60002 60003 60004 60005
```
60000の条件にヒットしなければ、60001を評価と言った順です。
192.168.0.120～192.168.0.160のアドレスにて、社外の任意アドレスのPCに対して、http(80),https(443)ポートへ接続しようとした場合、logに残さずパケットを破棄します。
Webへのアクセスは、squid(Proxyサーバ)およびDnasguardian(コンテンツフィルタ)にて制限し、記録が取られているので、あえてルーターではログを取らないようにしています。
```
ip filter 60000 reject-nolog 192.168.0.120-192.168.0.160 * * * www,20,21,22,https
```
192.168.0.120～192.168.0.160のアドレスにて、社外の111.111.111.111のPCに対して、接続する場合は、無条件で通過させます。
自社のメールサーバ＆Webサーバへのアクセスは、無条件で通過させています。
```
ip filter 60001 pass 192.168.0.120-192.168.0.160 111.111.111.111 * * *
```
192.168.0.120～192.168.0.160のアドレスにて、社外の任意アドレスのPCに対して、任意のポートへ接続しようとした場合、logに記録してパケットを破棄します。
予期しない制限されるべき通信は、全てログに記録しています。
```
ip filter 60002 reject 192.168.0.120-192.168.0.160 * * * *
```
以下、192.168.0.235～192.168.0.245のアドレスにおいては、許可されるサーバが追加されているだけで、内容としては変わりません。
最後に、全アドレス空間にて、予期しない通信を全て破棄しています。
```
ip filter 90000 reject * * * * *
```