@network Cisco・アライド実機で学ぶ > YAHAMAルータ実機で学ぶ > 静的フィルタリングの設定(その3)

 Amazon
@network Cisco・アライド実機で学ぶ
◆静的フィルタリングの設定(その3)

※動作確認は、YAMAHA RTX1000ルータで確認しています。コマンド、出力結果、動作は、機種、ファームウェアのバージョンで異なる場合があります。
 資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。



◆静的フィルタリングの設定(その3)

 ここでは、ファイアウォールの内側(LAN側)から発するパケットの戻りのパケットだけの通過を許可するフィルタリングの設定を行います。


◆Establishedのみを許可する

 TCPの通信は、スリーウェイハンドシェイクという手順で、接続を確立します。このハンドシェイクで、初期シーケンス番号を交換することで、2つのホストがそれぞれの初期シーケンス番号を同期させています。

その手順は、次のように行われます。

手順 内容
手順1 送信元が相手に対して、「SYNパケット」を送信する。
手順2 SYN パケットを受け取った相手は、送信元に接続を許可する「SYN,ACKパケット」を送信する。
手順3 SYN ACK パケットを受けとった送信元は、接続開始をあらわす ACK パケットを送信し、受信側との通信を開始する。

スリーウェイハンドシェイクの様子を図で表すと次のようになります。


つまり、送信側が受け取るパケットには、全て「ACK」のフラグが立っていることになります。

 そこで、ファイアウォール側で外部から送られてくるパケットに「ACK」のフラグ付いているものだけを通過させれば、ファイアウォールの内側(LAN側)から発するパケットの戻りのパケットだけを許可することと同意になります。

 フィルタリングの設定にestablishedを指定するとで、TCPヘッダに「ACK」のフラグが立っているということを条件件に加えることができます。

フィルタリングのメカニズムが理解できたところで、まず、R1にフィルタリング以外の設定を行ってゆきます。


●R1のコンフィグ
console prompt R1
ip route default gateway pp 1
ip lan1 address 192.168.1.1/24
pp select 1
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname (PPPoE接続ID) (PPPoE接続パスワード)
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 pp enable 1
dns server pp 1
dns private address spoof on

・相手先情報番号に「pp1」を選択します。
R1# pp select 1

・プロトコルパラメータに「established」を指定して、ファイアウォールの内側から発するパケットの戻りのパケットを通過させます。
R1pp1# ip filter 1 pass * * established

・FTPのデータコネクションは、外部からコネクションを確立するので、そのパケットを通過させます。
R1pp1# ip filter 2 pass * * tcp ftpdata *

・DNSサーバへの問い合わせの応答パケットを通過させます。
R1pp1# ip filter 3 pass * * udp domain *

・pp側の「in」の方向にフィルタを適用します。
R1pp1# ip pp secure filter in 1 2 3

・相手先情報番号「pp1」の選択を終了します。
R1pp1# pp select none

静的フィルタリングの設定(その2)」 ← 前項 | 次項 → 「静的フィルタリングの設定(その4)





<ネットワーク資格の練習問題に挑戦>
CCNA練習問題に挑戦!(650問)
Network+練習問題に挑戦!(393問)
テクニカルエンジニア(ネットワーク)試験
◆Cisco実機で学ぶ(CCNAルータ編)

ルータの概要・基本操作・設定1 (17項目)
ルータの概要・基本操作・設定3 (22項目)
IGRP・EIGRPの設定 (18項目)
アクセスリスト・ACLの設定 (14項目)
NAT・DHCPの設定 (8項目)
ルータの概要・基本操作・設定2 (17項目)
RIPv1・RIPv2の設定 (14項目)
OSPFの設定・デフォルトルートの伝播(16項目)
WANの設定 (10項目)
ARP・RARP・Proxy ARP(12項目)
◆Cisco実機で学ぶ(CCNAスイッチ編)

スイッチの基本操作・設定 (14項目)
VTP・スパニングツリーの設定 (12項目)
MACアドレスの管理・VLANの設定 (12項目)

◆アライドテレシス実機で学ぶ

基本操作・設定 (11項目)
OSPFの設定 (9項目)
ポリシールーティング・VRRPなど (12項目)
VLAN・マルチホーミング・RIPの設定 (10項目)
STP・ポートトランキングなど (14項目)

<関連メニュー>
CCNA実機で学ぶ
CCNP実機で学ぶ
CCENT(ICND1)実機で学ぶ
ICND2実機で学ぶ
SDMで設定する(Cisco実機で学ぶ)
CCENT・CCNA無線実機で学ぶ
アライドテレシス実機で学ぶ
YAMAHAルータ実機で学ぶ
TCP/IP入門・無料ネットワークツール
PLCでホームネットワーク構築

Copyright(c)2006- @network Cisco・アライド実機で学ぶ All rights reserved.