| ネットワーク機器トップ > 製品ラインナップ > FITELnet-Eシリーズ > 設定例 > フィルタリング (establishedフィルタリング) |
 |
|---|
|
TCPパケットにおけるコネクションの確立は以下のようなシーケンスとなります。
クライアント サーバ
| SYN |
|------------------>|
| SYN,ACK |
|<------------------|
| ACK |
|------------------>|
| |
establishedフィルタリングではこの特性に着目し外部から来るパケットにおいてACK(RST)フラグが設定されていないパケットを拒否することにより、不正なアクセスを遮断することが出来ます。
conf#iprouting filitering=on conf#ipf delete all conf#ipf add dst=0.0.0.0,0.0.0.0 dstport=0,65535 src=0.0.0.0,0.0.0.0 srcport=0,65535 conf#ipf -d add dst=0.0.0.0,0.0.0.0 dstport=0,65535 src=0.0.0.0,0.0.0.0 srcport=0,65535 recvif=isdn1,isdn2 sendif=isdn1,isdn2 half establishedこの設定にでは、回線側からのtelnetを拒否しつつ、LAN側からのtelnetは可能です。 これはTCPセッションのみに対応しておりますのでping等TCP以外のパケットは中継されます。 |
|
(注意) IPフィルタリング機能そのものが有効なときに、このテーブル内容が利用されます。 IPフィルタリング機能はiproutingコマンドで確認できます。 conf#iprouting proxyarp:shortcut filtering:on rip:offIPフィルタリングは中継条件を満たした内容を遮断条件に照らし合わせる方法をとっています。 IPフィルタリング機能が有効であるときに、IPフィルタリングテーブルの中継側に 1件も登録がない場合は、すべてのパケットが遮断されてしまいます。 特定のパケットだけを遮断したい場合は、すべてが中継される条件の登録も行ってください。 装置導入時は、全て中継するというテーブルと、udp port137〜139(NetBIOS用のフィルタリング)は中継しないというテーブルが登録されています。 |
|
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2002 古河電工のHomeへ |
