環境構築備忘録
フィルタリング設定(RTX1100)
をテンプレートにして作成
開始行:
*フィルタリング設定(RTX1100) [#h86a3bc7]
社内で運用する際、余計なアプリケーションの通信を制限した...
特に、持ち出し厳禁の資料等を社外に持ち出されたら、管理者...
私は、こんなフィルタルール(の一部)を作成していました。~
※実際は、公開サーバ等があったので、途中にpassのルール追加...
**前提条件 [#l0be1861]
-192.168.0.120~192.168.0.160までが、制限したいIPアドレス...
-192.168.0.235~192.168.0.245までが、制限したいIPアドレス...
-111.111.111.111は、社外設置のメールサーバ
-222.222.222.222は、社外設置のメールサーバ
-333.333.333.333は、社外設置のメールサーバ
-社内のIPアドレス空間が、業務内容によって2種に分かれてい...
-それぞれ、別の条件で制限が必要となっています
**フィルタルール [#v74751e4]
pp select 1
ip pp secure filter out 60000 60001 60002 60003 60004 6...
ip filter 90000 reject * * * * *
ip filter 60000 reject-nolog 192.168.0.120-192.168.0.160...
ip filter 60001 pass 192.168.0.120-192.168.0.160 111.111...
ip filter 60002 reject 192.168.0.120-192.168.0.160 * * * *
ip filter 60003 reject-nolog 192.168.0.235-192.168.0.245...
ip filter 60004 pass 192.168.0.235-192.168.0.245 111.111...
ip filter 60005 reject 192.168.0.235-192.168.0.245 * * * *
順番に説明すると
+左から順番に解釈されていきます。~
ip pp secure filter out 60000 60001 60002 60003 60004 60...
60000の条件にヒットしなければ、60001を評価と言った順です。
+192.168.0.120~192.168.0.160のアドレスにて、社外の任意ア...
Webへのアクセスは、squid(Proxyサーバ)およびDnasguardian(...
ip filter 60000 reject-nolog 192.168.0.120-192.168.0.160...
+192.168.0.120~192.168.0.160のアドレスにて、社外の111.11...
自社のメールサーバ&Webサーバへのアクセスは、無条件で通過...
ip filter 60001 pass 192.168.0.120-192.168.0.160 111.111...
+192.168.0.120~192.168.0.160のアドレスにて、社外の任意ア...
予期しない制限されるべき通信は、全てログに記録しています。
ip filter 60002 reject 192.168.0.120-192.168.0.160 * * * *
+以下、192.168.0.235~192.168.0.245のアドレスにおいては、...
+最後に、全アドレス空間にて、予期しない通信を全て破棄して...
ip filter 90000 reject * * * * *
終了行:
*フィルタリング設定(RTX1100) [#h86a3bc7]
社内で運用する際、余計なアプリケーションの通信を制限した...
特に、持ち出し厳禁の資料等を社外に持ち出されたら、管理者...
私は、こんなフィルタルール(の一部)を作成していました。~
※実際は、公開サーバ等があったので、途中にpassのルール追加...
**前提条件 [#l0be1861]
-192.168.0.120~192.168.0.160までが、制限したいIPアドレス...
-192.168.0.235~192.168.0.245までが、制限したいIPアドレス...
-111.111.111.111は、社外設置のメールサーバ
-222.222.222.222は、社外設置のメールサーバ
-333.333.333.333は、社外設置のメールサーバ
-社内のIPアドレス空間が、業務内容によって2種に分かれてい...
-それぞれ、別の条件で制限が必要となっています
**フィルタルール [#v74751e4]
pp select 1
ip pp secure filter out 60000 60001 60002 60003 60004 6...
ip filter 90000 reject * * * * *
ip filter 60000 reject-nolog 192.168.0.120-192.168.0.160...
ip filter 60001 pass 192.168.0.120-192.168.0.160 111.111...
ip filter 60002 reject 192.168.0.120-192.168.0.160 * * * *
ip filter 60003 reject-nolog 192.168.0.235-192.168.0.245...
ip filter 60004 pass 192.168.0.235-192.168.0.245 111.111...
ip filter 60005 reject 192.168.0.235-192.168.0.245 * * * *
順番に説明すると
+左から順番に解釈されていきます。~
ip pp secure filter out 60000 60001 60002 60003 60004 60...
60000の条件にヒットしなければ、60001を評価と言った順です。
+192.168.0.120~192.168.0.160のアドレスにて、社外の任意ア...
Webへのアクセスは、squid(Proxyサーバ)およびDnasguardian(...
ip filter 60000 reject-nolog 192.168.0.120-192.168.0.160...
+192.168.0.120~192.168.0.160のアドレスにて、社外の111.11...
自社のメールサーバ&Webサーバへのアクセスは、無条件で通過...
ip filter 60001 pass 192.168.0.120-192.168.0.160 111.111...
+192.168.0.120~192.168.0.160のアドレスにて、社外の任意ア...
予期しない制限されるべき通信は、全てログに記録しています。
ip filter 60002 reject 192.168.0.120-192.168.0.160 * * * *
+以下、192.168.0.235~192.168.0.245のアドレスにおいては、...
+最後に、全アドレス空間にて、予期しない通信を全て破棄して...
ip filter 90000 reject * * * * *
ページ名: