フィルタリング設定(RTX1100)
Last-modified: 2016-03-23 (水) 12:31:59 (2948d)
Top / フィルタリング設定(RTX1100)
フィルタリング設定(RTX1100) †
社内で運用する際、余計なアプリケーションの通信を制限したいこともあるかと思います。
特に、持ち出し厳禁の資料等を社外に持ち出されたら、管理者の首がいくつあっても足りませんw
私は、こんなフィルタルール(の一部)を作成していました。
※実際は、公開サーバ等があったので、途中にpassのルール追加してあります。
前提条件 †
- 192.168.0.120~192.168.0.160までが、制限したいIPアドレスの範囲その1
- 192.168.0.235~192.168.0.245までが、制限したいIPアドレスの範囲その2
- 111.111.111.111は、社外設置のメールサーバ
- 222.222.222.222は、社外設置のメールサーバ
- 333.333.333.333は、社外設置のメールサーバ
- 社内のIPアドレス空間が、業務内容によって2種に分かれています。
- それぞれ、別の条件で制限が必要となっています
フィルタルール †
pp select 1 ip pp secure filter out 60000 60001 60002 60003 60004 60005 90000
ip filter 90000 reject * * * * * ip filter 60000 reject-nolog 192.168.0.120-192.168.0.160 * * * www,https ip filter 60001 pass 192.168.0.120-192.168.0.160 111.111.111.111 * * * ip filter 60002 reject 192.168.0.120-192.168.0.160 * * * * ip filter 60003 reject-nolog 192.168.0.235-192.168.0.245 * * * www,https ip filter 60004 pass 192.168.0.235-192.168.0.245 111.111.111.111,222.222.222.222,333.333.333.333 * * * ip filter 60005 reject 192.168.0.235-192.168.0.245 * * * *
順番に説明すると
- 左から順番に解釈されていきます。
ip pp secure filter out 60000 60001 60002 60003 60004 60005
60000の条件にヒットしなければ、60001を評価と言った順です。 - 192.168.0.120~192.168.0.160のアドレスにて、社外の任意アドレスのPCに対して、http(80),https(443)ポートへ接続しようとした場合、logに残さずパケットを破棄します。
Webへのアクセスは、squid(Proxyサーバ)およびDnasguardian(コンテンツフィルタ)にて制限し、記録が取られているので、あえてルーターではログを取らないようにしています。
ip filter 60000 reject-nolog 192.168.0.120-192.168.0.160 * * * www,20,21,22,https
- 192.168.0.120~192.168.0.160のアドレスにて、社外の111.111.111.111のPCに対して、接続する場合は、無条件で通過させます。
自社のメールサーバ&Webサーバへのアクセスは、無条件で通過させています。
ip filter 60001 pass 192.168.0.120-192.168.0.160 111.111.111.111 * * *
- 192.168.0.120~192.168.0.160のアドレスにて、社外の任意アドレスのPCに対して、任意のポートへ接続しようとした場合、logに記録してパケットを破棄します。
予期しない制限されるべき通信は、全てログに記録しています。ip filter 60002 reject 192.168.0.120-192.168.0.160 * * * *
- 以下、192.168.0.235~192.168.0.245のアドレスにおいては、許可されるサーバが追加されているだけで、内容としては変わりません。
- 最後に、全アドレス空間にて、予期しない通信を全て破棄しています。
ip filter 90000 reject * * * * *