| ネットワーク機器トップ > 製品ラインナップ > FITELnet-Eシリーズ > 設定例 > フィルタリング (外部からの不正アクセスを防ぎたい) |
 |
|---|
|
|
外部からの不正アクセスを防ぐためのフィルタリングの設定例です。 *NATプラスを使用している場合には外部からLANへのダイレクトな通信は遮断されますので, 設定の必要はありません。 (1)外部からLAN上の端末に対してのtelnetを遮断(LANは固定のグローバルアドレス210.***.100.0/28 を使用) conf#ipf -d add dst=210.***.100.0,255.255.255.240 dstport=23,23 src=0.0.0.0,0.0.0.0 srcport=0,65535 prot=tcp/udp recvif=hsd sendif=lan*この設定をした場合でもFITELnet宛てに外部からのtelnetは許可します。 *この設定をした場合、LAN側から外部宛てのtelnetも遮断されます。 (2) 外部からFITELnetに対してのtelnetを遮断(FITELnetは固定のグローバルアドレス210.***.100.1を使用) conf#ipf -d add dst=210.***.100.1,255.255.255.255 dstport=23,23 src=0.0.0.0,0.0.0.0 srcport=0,65535 prot=tcp/udp recvif=hsd sendif=hsdFITELnet自身宛てのアクセスを遮断するためにはFITELnet自身宛てのみのテーブルが必要になります。 外部からのFITELnetのWEB設定画面を遮断するにはこれに加えて80番ポートも登録します。 conf#ipf -d add dst=192.168.0.1,255.255.255.255 dstport=23,23 src=192.168.0.128,255.255.255.128 srcport=0,65535 prot=tcp/udp recvif=lan sendif=lan |
|
(注意) IPフィルタリング機能そのものが有効なときに、このテーブル内容が利用されます。 IPフィルタリング機能はiproutingコマンドで確認できます。 conf#iprouting proxyarp:shortcut filtering:on rip:offIPフィルタリングは中継条件を満たした内容を遮断条件に照らし合わせる方法をとっています。 IPフィルタリング機能が有効であるときに、IPフィルタリングテーブルの中継側に 1件も登録がない場合は、すべてのパケットが遮断されてしまいます。 特定のパケットだけを遮断したい場合は、すべてが中継される条件の登録も行ってください。 装置導入時は、全て中継するというテーブルと、udp port137〜139(NetBIOS用のフィルタリング)は中継しないというテーブルが登録されています。 |
|
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2002 古河電工のHomeへ |
