外部の特定サービスへのアクセスだけ許可する

適用機種 PG-SW107

ここでは、一時的に

LAN

を作成し、外部

LAN

のすべての

FTP

サーバに対してアク セスすることだけを許可し、ほかのサーバ（

WWW

サーバなど）へのアクセスを禁 止する場合の設定方法を説明します。

ただし、

FTP

サーバ名を解決するために、

DNS

サーバへのアクセスは許可します。

POINT

ftpでホスト名を指定する場合、DNSサーバに問い合わせが発生するため、DNSサーバへのアクセス を許可する必要があります。DNSサーバへのアクセスを許可することによって、ftpサービス以外で ドメイン名を指定した場合もDNSサーバへの発信が発生します。あらかじめ接続するFTPサーバが 決まっている場合は、本製品のDNSサーバ機能を利用することによって、DNSサーバへの発信を抑 止できます。

● フィルタリング設計

•

内部

LAN

のホスト（

192.168.1.0/24

）から外部

LAN

の

FTP

サーバへのアクセスを許可

•

内部

LAN

のホスト（

192.168.1.0/24

）から外部

LAN

への

DNS

サーバへのアクセスを許可

• ICMP

の通信を許可

•

その他はすべて遮断

IP䊐䉞䊦䉺䊥䊮䉫

ㆤᢿ ㅘㆊ ㅘㆊ

ᄖㇱLAN

ౝㇱLAN

䊈䉾䊃䊪䊷䉪䉝䊄䊧䉴 192.168.1.0/24

LAN1 192.168.1.1

䊈䉾䊃䊪䊷䉪䉝䊄䊧䉴 192.168.0.0/24 LAN0

192.168.0.1

FTP䉰䊷䊋 192.168.0.5

DNS䉰䊷䊋 192.168.0.10

WWW䉰䊷䊋 192.168.0.15

PRIMERGY BX600 スイッチブレード（1Gbps）（PG-SW107）コマンド設定事例集

16

IPフィルタリング機能を使う

重 要

● フィルタリングルール

• FTP

サーバへのアクセスを許可するには

192.168.1.0/24

の任意のポートから、任意の

FTP

サーバのポート

21

（

ftp

）への

TCP

パケッ トを透過させる

• DNS

サーバへのアクセスを許可するには

192.168.1.0/24

の任意のポートから、

DNS

サーバのポート

53

（

domain

）への

UDP

パケット を透過させる

• ICMP

の通信を許可するためには

ICMP

パケットを透過させる

•

その他をすべて遮断するには すべてのパケットを遮断する

前述のフィルタリングルールに従って設定を行う場合のコマンド例を示します。

● コマンド

任意のFTPサーバのポート21へのTCPパケットを透過させる

# acl 0 ip 192.168.1.0/24 any 6 any

# acl 0 tcp any 21

# lan 1 ip filter 0 pass acl 0

DNSサーバのポート53へのUDPパケットを透過させる

# acl 1 ip 192.168.1.0/24 192.168.0.10/32 17 any

# acl 1 udp any 53

# lan 1 ip filter 1 pass acl 1 ICMPのパケットを透過させる

# acl 2 ip any any 1 any

# lan 1 ip filter 2 pass acl 2 残りのパケットをすべて遮断する

# acl 3 ip any any any any

# lan 1 ip filter 3 reject acl 3 設定終了

# save

# commit

ICMPは、IP通信を行う際にさまざまな制御メッセージを交換します。ICMPの通信を遮断すると 正常な通信ができなくなる場合がありますので、ICMPの通信を透過させる設定を行ってくださ い。

第16章 IPフィルタリング機能を使う

16.3 外部から特定サーバへのアクセスだけ許 可する

適用機種 PG-SW107

ここでは、内部

LAN

の特定サーバに対するアクセスを許可し、ほかのサーバに対 するアクセスを禁止する場合の設定方法を説明します。

ただし、

FTP

サーバ名を解決するために

DNS

サーバへのアクセスは許可します。

POINT

ftpでホスト名を指定する場合、DNSサーバに問い合わせが発生するため、DNSサーバへのアクセス を許可する必要があります。DNSサーバへのアクセスを許可することによって、ftpサービス以外で もドメイン名で指定されるとDNSサーバへの問い合わせが発生します。あらかじめ接続するftp サーバが決まっている場合は、本製品のDNSサーバ機能を利用することで、DNSサーバへの問い合 わせを抑止することができます。

● フィルタリング設計

•

内部

LAN

のホスト（

192.168.1.5/32

）を

FTP

サーバとして利用を許可

•

内部

LAN

のネットワークへの

DNS

サーバへのアクセスを許可

• ICMP

の通信を許可

•

その他はすべて遮断

IP䊐䉞䊦䉺䊥䊮䉫

ㆤᢿ ㅘㆊ ㅘㆊ

ᄖㇱLAN

ౝㇱLAN

LAN0 LAN1

䊈䉾䊃䊪䊷䉪䉝䊄䊧䉴 192.168.1.0/24

192.168.1.1

䊈䉾䊃䊪䊷䉪䉝䊄䊧䉴 192.168.0.0/24 192.168.0.1

FTP䉰䊷䊋 192.168.1.5

DNS䉰䊷䊋 192.168.1.10

WWW䉰䊷䊋 192.168.1.15

PRIMERGY BX600 スイッチブレード（1Gbps）（PG-SW107）コマンド設定事例集

16

IPフィルタリング機能を使う

● フィルタリングルール

•

内部

LAN

のホストの

FTP

サーバとしての利用を許可するには

192.168.1.5/32

のポート

21

（

ftp

）への

TCP

パケットを透過させる

• DNS

サーバへのアクセスを許可するには

192.168.0.0/24

の任意のポートから

DNS

サーバのポート

53

（

domain

）への

UDP

パケット を透過させる

• ICMP

の通信を許可するためには

ICMP

パケットを透過させる

•

その他をすべて遮断するには すべてのパケットを遮断する

前述のフィルタリングルールに従って設定を行う場合のコマンド例を示します。

● コマンド

LAN上のホストのポート21へのTCPパケットを透過させる

# acl 0 ip 192.168.0.0/24 any 6 any

# acl 0 tcp any 21

# lan 0 ip filter 0 pass acl 0

DNSサーバのポート53へのUDPパケットを透過させる

# acl 1 ip 192.168.0.0/24 192.168.1.10/32 17 any

# acl 1 udp any 53

# lan 0 ip filter 1 pass acl 1 ICMPのパケットを透過させる

# acl 2 ip any any 1 any

# lan 0 ip filter 2 pass acl 2 残りのパケットをすべて遮断する

# acl 3 ip any any any any

# lan 0 ip filter 3 reject acl 3 設定終了

# save

# commit

第16章 IPフィルタリング機能を使う

16.4 外部の特定サーバへのアクセスだけを禁 止する

適用機種 PG-SW107

ここでは、外部

LAN

の

FTP

サーバに対するアクセスを禁止する場合の設定方法を 説明します。

● フィルタリング設定

•

内部

LAN

のホスト（

192.168.1.0/24

）から外部

LAN

の

FTP

サーバ（

192.168.0.5

）へのアク セスを禁止

● フィルタリングルール

• FTP

サーバへのアクセスを禁止するには

192.168.1.0/24

から

192.168.0.5

のポート

21

（

ftp

）への

TCP

パケットを遮断する

前述のフィルタリングルールに従って設定を行う場合のコマンド例を示します。

● コマンド

内部のLANから192.168.0.5へのFTPのパケットを遮断する

# acl 0 ip 192.168.1.0/24 192.168.0.5/32 6 any IP䊐䉞䊦䉺䊥䊮䉫

ㆤᢿ

ㅘㆊ

ㅘㆊ

ᄖㇱLAN

ౝㇱLAN

LAN0 LAN1

䊈䉾䊃䊪䊷䉪䉝䊄䊧䉴 192.168.1.0/24

192.168.1.1

䊈䉾䊃䊪䊷䉪䉝䊄䊧䉴 192.168.0.0/24 192.168.0.1

FTP䉰䊷䊋 192.168.0.5

DNS䉰䊷䊋 192.168.0.10

WWW䉰䊷䊋 192.168.0.15

PRIMERGY BX600 スイッチブレード（1Gbps）（PG-SW107）コマンド設定事例集

16

IPフィルタリング機能を使う

16.5 外部から特定サーバへの ping だけを禁 止する

適用機種 PG-SW107

ここでは、内部

LAN

の特定のサーバに対する

ping

（

ICMP ECHO

）を禁止し、この 特定のサーバに対するほかの

ICMP

パケット、その他のプロトコルのパケットおよ びほかのホストに対するパケットは、すべて許可する場合の設定方法を説明しま す。

● フィルタリング設定

•

内部

LAN

のサーバ（

192.168.1.5/32

）に対して外部からの

ping

（

ICMP ECHO

）を禁止

•

その他はすべて通過

● フィルタリングルール

•

内部

LAN

のサーバ（

192.168.1.5/32

）に対して外部からの

ping

（

ICMP ECHO

）を禁止するには

192.168.1.5/32

への

ICMP TYPE 8

の

ICMP

パケットを遮断する

•

その他のパケットを許可する すべてのパケットを透過させる

ㆤᢿ IP䊐䉞䊦䉺䊥䊮䉫

ping䈮ᔕ╵䈘䈞䈢䈒䈭䈇 䉰䊷䊋 192.168.1.5

ㅘㆊ

ping

ping LAN0 LAN1

192.168.1.1 192.168.0.1

第16章 IPフィルタリング機能を使う

前述のフィルタリングルールに従って設定を行う場合のコマンド例を示します。

● コマンド

アドレス192.168.1.5/32へのICMP TYPE 8のICMPパケットを遮断する

# acl 0 ip any 192.168.1.5/32 1 any

# acl 0 icmp 8 any

# lan 0 ip filter 0 reject acl 0

残りのパケットをすべて透過させる

# acl 1 ip any any any any

# lan 0 ip filter 1 pass acl 1 設定終了

# save

# commit

第 17 章

DSCP 値書き換え機能を使う

ここでは、DSCP 値書き換え機能を利用する場 合の設定方法について説明します。

17.1 DSCP値書き換え機能を使う . . . 94

第17章 DSCP値書き換え機能を使う

ドキュメント内 PRIMERGY BX600 スイッチブレード（1Gbps）（PG-SW107） コマンド設定事例集 (ページ 86-94)