古河電工ネットワーク機器の総合ブランド ファイテルネット
設定例
送信元IPアドレスを偽装したパケットを拒否するアクセスリスト設定
全機種対応
説明
ip spoofing、land攻撃、smurf攻撃の様に、攻撃パケットの送信元IPアドレスを送信先アドレスに偽装した攻撃を防ぐ設定です。
構成
コマンド設定
interface lan 1 ip address 100.0.0.1 255.255.255.248 exit interface pppoe 1 ip access-group 100 in ip access-group 101 in ip access-group 199 in pppoe server internet pppoe account ********@***.***.ne.jp ****** pppoe type lan exit ip route 0.0.0.0 0.0.0.0 pppoe 1 access-list 100 deny ip 100.0.0.0 0.0.0.7 any access-list 101 permit ip any 100.0.0.0 0.0.0.7 access-list 199 deny ip any any end
設定手順
送信元IPアドレスを偽装したパケットを拒否します。
| 設定内容 | 画面表示例 |
|---|---|
|
特権ユーザモードへの移行 パスワードの入力 設定情報の初期化 設定モードの変更 設定入力 設定保存 装置再起動 |
Router>enable Enter password: Router# Router#clear working.cfg Router# Router#configure terminal Router(config)#interface lan 1 Router(config-if lan 1)# ip address 100.0.0.1 255.255.255.248 Router(config-if lan 1)#exit Router(config)#interface pppoe 1 Router(config-if pppoe 1)# ip access-group 100 in Router(config-if pppoe 1)# ip access-group 101 in Router(config-if pppoe 1)# ip access-group 199 in Router(config-if pppoe 1)# pppoe server internet Router(config-if pppoe 1)# pppoe account ********@***.***.ne.jp ****** Router(config-if pppoe 1)# pppoe type lan Router(config-if pppoe 1)#exit Router(config)#ip route 0.0.0.0 0.0.0.0 pppoe 1 Router(config)#access-list 100 deny ip 100.0.0.0 0.0.0.7 any Router(config)#access-list 101 permit ip any 100.0.0.0 0.0.0.7 Router(config)#access-list 199 deny ip any any Router(config)# Router(config)#end Router# Router#save SIDE-A % saving working-config % finished saving Router#reset Going to reset with SIDE-A.frm and SIDE-A.cfg. Boot-back not scheduled for next boot. Next rebooting firmware SIDE-A.frm is fine. Are you OK to cold start?(y/n)y |
設定状態の確認 1
アクセスリストを確認します。
| 確認内容 | 画面表示例 |
|---|---|
|
アクセスリスト情報を表示 設定が正しいことを確認 設定が正しいことを確認 設定が正しいことを確認 |
Router>show access-lists Extended IP access list 100 deny ip 100.0.0.0 0.0.0.7 any Extended IP access list 101 permit ip any 100.0.0.0 0.0.0.7 Extended IP access list 199 deny ip any any Router> |
設定状態の確認 2
送信元IPアドレスが同一アドレスのパケットを確認します。
1.access-listコマンドのlogを設定する方法
| 設定内容 | 画面表示例 |
|---|---|
| access-list コマンドのlog を設定する |
access-list 100 deny ip 100.0.0.0 0.0.0.7 any log access-list 101 permit ip any 100.0.0.0 0.0.0.7 log |
※:access-listコマンドの設定は追加形式であるため、現在設定されているアクセスリスト番号に適用する場合は、設定を一度削除して再度設定し直して下さい。
access-listのlog オプションを使用する場合は、中継性能が下がります。一時的なパケット確認にご使用して下さい。
パケットlogを確認します。
| 確認内容 | 画面表示例 |
|---|---|
|
パケットlog を表示 アクセスリストの100 番のinに適用したパケット情報 |
Router> show flog 0000 0000:00:00.00 2011/06/10 (fri) 13:20:42 0 00000000 4dd37c80 #BOOT[V01.04(00)-053111] SIDE-A.frm SIDE-A.cfg 0001 0000:04:24.20 2011/06/10 (fri) 13:25:09 15 00000000 00000000 100 D PPPoE1 in UDP 100.0.0.2:1024 100.0.0.2:1024 0002 0000:04:24.42 2011/06/10 (fri) 13:25:09 15 00000000 00000000 100 D PPPoE1 in UDP 100.0.0.2:1024 100.0.0.2:1024 0003 0000:04:24.64 2011/06/10 (fri) 13:25:09 15 00000000 00000000 100 D PPPoE1 in UDP 100.0.0.2:1024 100.0.0.2:1024 0004 0000:04:24.86 2011/06/10 (fri) 13:25:09 15 00000000 00000000 100 D PPPoE1 in UDP 100.0.0.2:1024 100.0.0.2:1024 0005 0000:04:25.08 2011/06/10 (fri) 13:25:10 15 00000000 00000000 100 D PPPoE1 in UDP 100.0.0.2:1024 100.0.0.2:1024 |
2.access-listコマンドのcountを設定する方法
| 設定内容 | 画面表示例 |
|---|---|
| access-list コマンドのcount を設定する |
access-list 100 deny ip 100.0.0.0 0.0.0.7 any count access-list 101 permit ip any 100.0.0.0 0.0.0.7 count |
※:access-listコマンドの設定は追加形式であるため、現在設定されているアクセスリスト番号に適用する場合は、設定を一度削除して再度設定し直して下さい。
"log"と"count"は同時に設定することもできます。
カウント情報を確認します。
| 確認内容 | 画面表示例 |
|---|---|
|
カウント情報を表示 ewan1 のアクセスリスト100 番のカウントを表示 |
Router>show access-lists statistics Interface number frames bytes ewan 1 100 46 10948 101 0 0 Router> |
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2011