FITELnet-Eヘッダ

ネットワーク機器トップ > 製品ラインナップ > FITELnet-Eシリーズ > 設定例 > フィルタリング
(establishedフィルタリング)


設定例


1 .フィルタリング
   (5)establishedフィルタリング

TCPパケットにおけるコネクションの確立は以下のようなシーケンスとなります。

 クライアント          サーバ
        |       SYN         |
        |------------------>|
        |     SYN,ACK       |
        |<------------------|
        |       ACK         |
        |------------------>|
        |                   |
establishedフィルタリングではこの特性に着目し外部から来るパケットにおいてACK(RST)フラグが設定されていないパケットを拒否することにより、不正なアクセスを遮断することが出来ます。
    以下は設定例です。
    conf#iprouting filitering=on
    conf#ipf delete all
    conf#ipf add dst=0.0.0.0,0.0.0.0 dstport=0,65535 src=0.0.0.0,0.0.0.0
    srcport=0,65535
    conf#ipf -d add dst=0.0.0.0,0.0.0.0 dstport=0,65535 src=0.0.0.0,0.0.0.0
    srcport=0,65535 recvif=isdn1,isdn2 sendif=isdn1,isdn2 half established
    
この設定にでは、回線側からのtelnetを拒否しつつ、LAN側からのtelnetは可能です。
これはTCPセッションのみに対応しておりますのでping等TCP以外のパケットは中継されます。
(注意)
IPフィルタリング機能そのものが有効なときに、このテーブル内容が利用されます。 IPフィルタリング機能はiproutingコマンドで確認できます。
    conf#iprouting
    proxyarp:shortcut filtering:on rip:off 
    
IPフィルタリングは中継条件を満たした内容を遮断条件に照らし合わせる方法をとっています。 IPフィルタリング機能が有効であるときに、IPフィルタリングテーブルの中継側に 1件も登録がない場合は、すべてのパケットが遮断されてしまいます。 特定のパケットだけを遮断したい場合は、すべてが中継される条件の登録も行ってください。 装置導入時は、全て中継するというテーブルと、udp port137〜139(NetBIOS用のフィルタリング)は中継しないというテーブルが登録されています。







All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2002

古河電工のHomeへ