RTシリーズのIPパケット・フィルタに関するFAQ
IPsecを通すフィルタ設定例
新規作成日 | 2000/Jun/29 |
最終変更日 | 2018/Nov/06 |
文書サイズ | 13KB |
IPsecを通すフィルタを教えてください
[ IPsecとセキュリティ・ゲートウェイ機能 ]
RTシリーズでは、セキュリティ・ゲートウェイ機能を搭載しております。 このセキュリティ・ゲートウェイ機能では、 IPsecの暗号トンネルを利用して、 VPN(Virtual Private Network)を構築することができます。
[ IPsecフィルタ ]
インターネットを介して基本となるフィルタ設定の 適用されたRT(A)とRT(B)があるネットワーク環境で、 セキュリティ・ゲートウェイ間が通信するために必要な、 フィルタの設定を紹介する。
(TCP/IPネットワークまたはインターネット) ====================================================================== | | +----[WAN]----+RT(A) RT(B)+----[WAN]----+ | +--+--+ | | +--+--+ | | |↓|↑| |PP側フィルタ PP側フィルタ| |↓|↑| | | +--+--+ | | +--+--+ | | | | | | | | (R) | | (R) | | | | | | | | +--+--+ | | +--+--+ | | |↓|↑| |LAN側フィルタ LAN側フィルタ| |↓|↑| | | +--+--+ | | +--+--+ | +----[LAN]----+ 172.16.184.33 192.168.0.1 +----[LAN]----+ | | =======+======= 172.16.184.32/28 192.168.0.0/24 =======+======= | | +---------+---------+ 172.16.184.34 192.168.0.2 +---------+---------+ | SGW | | SGW | | | | | | | <IPsecトンネル:AH,ESP> | | | | ←──────────── | | | | ────────────→ | | | | | | | | <鍵交換:UDP> | | | [500]| ←──────────── |[*](1024〜65535) | | (1024〜65535)[*]| ────────────→ |[500] | +-------------------+ +-------------------+ |
基本となるフィルタ設定では、 セキュリティ・ゲートウェイへの接続は、拒否されますので、 172.16.184.34のセキュリティ・ゲートウェイへの 接続を通過させる追加設定が必要です。
# フィルタ定義例 (アドレスの制限をしない)
ip filter 16 pass * * ah,esp ip filter 17 pass * * udp 500 * ip filter 18 pass * * udp * 500 |
# フィルタ定義例 (こちらのSGWが172.16.184.34の場合)
ip filter 16 pass * 172.16.184.34 ah,esp ip filter 17 pass * 172.16.184.34 udp 500 * ip filter 18 pass * 172.16.184.34 udp * 500 |
# フィルタ定義例 (相手のSGWを192.168.0.2に制限する)
ip filter 16 pass 192.168.0.2 172.16.184.34 ah,esp ip filter 17 pass 192.168.0.2 172.16.184.34 udp 500 * ip filter 18 pass 192.168.0.2 172.16.184.34 udp * 500 |
# フィルタ定義例 (RTシリーズとRTシーズの特例#1)
ip filter 16 pass 192.168.0.2 172.16.184.34 ah,esp ip filter 17 pass 192.168.0.2 172.16.184.34 udp 500 500 |
# フィルタ定義例 (RTシリーズとRTシーズの特例#2)
ip filter 16 pass 192.168.0.2 172.16.184.34 ah,esp ip filter 17 pass 192.168.0.2 172.16.184.34 udp 500 500,60000-64095 ip filter 18 pass 192.168.0.2 172.16.184.34 udp 500,60000-64095 500 |
# フィルタ適用例 (接続先のPP番号が1の場合)
pp select 1 ip pp secure filter in 10 11 12 13 14 15 16 17 18 |
RT(A)側と対称です。
基本となるフィルタ設定では、 セキュリティ・ゲートウェイへの接続は、拒否されますので、 192.168.0.2のセキュリティ・ゲートウェイへの 接続を通過させる追加設定が必要です。
# フィルタ定義例 (アドレスの制限をしない)
ip filter 16 pass * * ah,esp ip filter 17 pass * * udp 500 * ip filter 18 pass * * udp * 500 |
# フィルタ定義例 (こちらのSGWが192.168.0.2の場合)
ip filter 16 pass * 192.168.0.2 ah,esp ip filter 17 pass * 192.168.0.2 udp 500 * ip filter 18 pass * 192.168.0.2 udp * 500 |
# フィルタ定義例 (相手のSGWを172.16.184.34に制限する)
ip filter 16 pass 172.16.184.34 192.168.0.2 ah,esp ip filter 17 pass 172.16.184.34 192.168.0.2 udp 500 * ip filter 18 pass 172.16.184.34 192.168.0.2 udp * 500# フィルタ定義例 (RTシリーズとRTシーズの特例#1) ip filter 16 pass 172.16.184.34 192.168.0.2 ah,esp ip filter 17 pass 172.16.184.34 192.168.0.2 udp 500 500 |
# フィルタ定義例 (RTシリーズとRTシーズの特例#2)
ip filter 16 pass 172.16.184.34 192.168.0.2 ah,esp ip filter 17 pass 172.16.184.34 192.168.0.2 udp 500 500,60000-64095 ip filter 18 pass 172.16.184.34 192.168.0.2 udp 500,60000-64095 500 |
# フィルタ適用例 (接続先のPP番号が1の場合)
pp select 1 ip pp secure filter in 10 11 12 13 14 15 16 17 18 |
[ 設定の注意事項 ]
説明のためにIPアドレス(TCP/IPネットワーク)として、 192.168.0.0/24を用いております。 内側のネットワークがグローバルアドレスでも、プライベートアドレスでも、 アドレスを調整するだけで、ほぼ同等の設定となります。
実際に適用する場合には、実際のネットワーク状況に合せて調整してください。
ポート番号は、一般的な利用環境で利用されているものを
御紹介しております。
サーバやクライアントで変更可能であったり、
アドレス変換機能など介することでポート番号が変換されることも
あります。
ご利用環境を十分調査してから最終的なフィルタ設定を行なってください。
RTシリーズのIPパケットフィルタは、NATの内側で適用されている為、 NAT変換の有無をほとんど気にすることなく、設定(適用)することができます。
しかし、実際の通信では、NATやIPマスカレードのアドレス変換機能を
通すための追加設定が必要である場合があります。
例えば、RTシリーズでは、静的NATや静的IPマスカレードといった設定です。
[ 基本となるフィルタ ]
インターネット DNSサーバ メールサーバ ↑ │ │ │ <プロバイダ> ━━━━┯━┷━━━━━━━┷━━━━━━━┷━━━━━━━━━ │ ┌───┴───┐ │ ルータ │ └───┬───┘ : :ISDN回線や専用線 : ┌───┴───┐ │ ルータ │ └───┬───┘ │ 192.168.0.1 192.168.0.0/24 ━━━━┷━━━━┯━━━━━━━━━━━━━━━━━━━━━━ │ 192.168.0.2〜192.168.0.254 <端末アドレス> ┌───┴───┐ │ コンピュータ │ └───────┘ |
# フィルタ定義例 (LAN側ネットワークが192.168.0.0/24の場合)
ip filter 10 reject 192.168.0.0/24 * * * * ip filter 11 pass * 192.168.0.0/24 icmp * * ip filter 12 pass * 192.168.0.0/24 established * * ip filter 13 pass * 192.168.0.0/24 tcp * ident ip filter 14 pass * 192.168.0.0/24 tcp ftpdata * ip filter 15 pass * 192.168.0.0/24 udp domain * ip filter source-route on ip filter directed-broadcast on |
# フィルタ適用例 (接続先のPP番号が1の場合)
pp select 1 ip pp secure filter in 10 11 12 13 14 15 |
[ 関連情報 ]
[ FAQ for RT-Series ]
[ FAQ for IP Packet Filter / files / TCP/IP ]