コントロールパネル
チュートリアル
ーIPフィルター
エッジ装置はオーバレイネットワークごとのIPフィルターにより、IPアドレス、ポート番号を制御することができます。ここでは、IPフィルターの機能について説明します。
ー概要
エッジ装置の通信を制御する機能を提供します。この機能を使うと、特定の宛先だけに通信させることや、特定のポート番号宛の通信を破棄させることができます。
なお、インターネットブレイクアウト機能におけるIPフィルター ( ブレイクアウト )とは機能が異なります。
ーIPフィルターの動作
| 項目 | 内容 | ||
| IPフィルター名 | 新たに作成するIPフィルターの名称を入力 | ||
| IPフィルタールール | 動作 | deny | フィルター動作 拒否 |
| accept | フィルター動作 許可 | ||
| 送信元セグメント | 送信元のネットワークアドレスを入力 “0.0.0.0/0”を指定した場合は全てを意味します |
||
| 宛先セグメント | 宛先のネットワークアドレスを入力 “0.0.0.0/0”を指定した場合は全てを意味します |
||
| 通信方向 | out | LAN ⇒ WAN 向けの通信を意味します | |
| プロトコル又はポート番号 |
フィルター対象のプロトコルを指定 ALLまたはCUSTOM_UDP、CUSTOM_TCPを選択してください。 |
||
| ポート指定 | 開始ポート番号 |
ポート番号の指定 範囲指定可能であり開始の番号 デフォルト値: 1 |
|
| 終了ポート番号 |
ポート番号の指定 範囲指定可能であり終了の番号 デフォルト値: 65535 |
||
| ステータス | 有効 | フィルター自体の有効化 | |
| 無効 | フィルター自体の無効化 | ||
- IPフィルターは、LANポートに付与した“ネットワーク”単位に設定できます。
- IPフィルタールールには送信元および宛先のネットワークセグメント、複数の宛先のポート番号を条件として指定することができます。
- IPフィルタールールには順序があり、No1, No2 …と番号順に条件を照会又は動作します。
- プロトコル名において、HTTPなどのアプリケーションはサポート対象外です。
- CUSTOM_TCP / UDP を利用する場合、必ずPort rangeを指定してください。デフォルトでは1~65535となっています。
- いずれのIPフィルタールールにも合致しなかった場合には「すべて許可」が動作します。
- いずれのフィルタールールにも合致しなかった場合に「すべて拒否」したい場合には、最後のルールに「全て拒否する」ための設定が必要です。
<「全て拒否する」ための設定>
|
項目 |
入力値 |
|
動作 |
deny |
|
送信元セグメント |
0.0.0.0/0 |
|
宛先セグメント |
0.0.0.0/0 |
|
通信方向 |
out |
|
プロトコル名 |
ALL |
|
開始ポート番号 |
1 |
|
終了ポート番号 |
65535 |
|
ステータス |
有効 |
ーLAN機能やその他機能との併用
セグメンテーション
セグメンテーションを利用する際には、複数の「ネットワーク」に別々のポリシーを持つIPフィルターを設定することができます。
留意事項
LAN1とLAN2などに同じ“ネットワーク”を割り当て、IPフィルターを適用することはサービス仕様上許可しておりません。ご留意ください。
デフォルト拠点
IPフィルターを利用する際に、対向先のエッジ装置にデフォルトルート ( 0.0.0.0/0 ) を設定している場合、0.0.0.0/0に対するIPフィルターの機能が反映されません。
その場合、0.0.0.0/0を直接的に指定せず、複数のセグメントに分割して設定することにより、フィルタ機能で0.0.0.0/0を反映することが可能です。
<具体的な設定内容>
128.0.0.0/1
64.0.0.0/2
32.0.0.0/3
16.0.0.0/4
8.0.0.0/5
4.0.0.0/6
2.0.0.0/7
1.0.0.0/8
※0.128.0.0/9, 0.64.0.0/10...0.0.0.2/31, 0.0.0.1/32 まではRFC3330 "Special-Use IPv4 Addresses" に規定された予約済みアドレスの範囲であるため、設定不要です。
LAN側OSPF設定により、お客さまルーターからエッジ装置に対して0.0.0.0/0の経路を広報される場合も、同様に複数のセグメントに分割して設定する必要があります。
コメント
0件のコメント
記事コメントは受け付けていません。