送信元IPアドレス(直接指定・範囲指定・アドレスグループ)を利用したフィルタリング設定

動作確認バージョン:Brocade 5600vRouter Version4.2R1S1
ここでは、ファイアウォールを通過するIP通信(IPアドレス範囲・アドレスグループ)に対して
許可または拒否する機能について紹介します。

パケットフィルタリング設定のながれ

1.パケットフィルタリング設定の名前を設定する
2.送信元IPアドレス(範囲・アドレスグループ)の決定とそれを許可・拒否のルールを設定する
3.2.で作ったルールに該当しないIPアドレスをもつ通信に関して許可・拒否するルールを設定する
4.1.で作ったパケットフィルタリング設定を適用させるインタフェースに対してフィルタのその方向について指定する

特定の送信元IPアドレスからの通信を拒否する設定

特定の送信元IPアドレスからの通信をファイアウォールのインタフェースで遮断する設定
を行います。

サンプル設定のシナリオ

  • IPアドレス192.168.2.13を送信元IPアドレスとするホストからの通信をとめたい
  • インタフェース(dp0s5)にインプットするトラフィックに対して有効化したい
  • 192.168.2.13以外の送信元IPアドレスからの通信は、すべて許可する設定にしたい
構成図
Fig1

シナリオにおける設定のながれ

1.パケットフィルタリング設定の名前 test_rule
2.192.168.2.13を送信元IPアドレスとするパケットを拒否するルールを10として設定
3.192.168.2.13以外を送信元とするパケットについて許可する設定
4.dp0s5 インタフェースにてインプット方向へ適用

CLIにて入力するコマンド

set interfaces dataplane dp0s5 firewall in 'test_rule'
set security firewall name test_rule default-action 'accept'
set security firewall name test_rule rule 10 action 'drop'
set security firewall name test_rule rule 10 source address '192.168.2.13'

注釈

シナリオと同じポリシーで、フィルタリング設定をアウトプット方向で適用したい場合は dp0s6 インタフェースにてout test_rule という形で指定してください。

正しく設定が完了したときのコンフィグレーションは次のとおりです。
interfaces {
       dataplane dp0s4 {
               address 192.168.1.50/24
       }
       dataplane dp0s5 {
               address 192.168.2.50/24
               firewall {
                       in test_rule
               }
       }
       dataplane dp0s6 {
               address 192.168.3.5/24
       }
}
security {
       firewall {
               name test_rule {
                       default-action accept
                       rule 10 {
                               action drop
                               source {
                                       address 192.168.2.13
                               }
                       }
               }
       }
}

動作確認結果

以下の検証結果ログから、検証構成図にあるサーバ(192.168.2.12)から
192.168.3.3あての通信(Ping)が成功しますが、フィルタリング設定で
指定したIPアドレス(192.168.2.13)からの通信(Ping)は失敗しており
パケットフィルタリング機能が動作していることが確認できました。
#192.168.2.12から通信 -> OK

test@ubu03:~$ ping 192.168.3.3
PING 192.168.3.3 (192.168.3.3) 56(84) bytes of data.
64 bytes from 192.168.3.3: icmp_seq=1 ttl=63 time=5.31 ms
64 bytes from 192.168.3.3: icmp_seq=2 ttl=63 time=1.30 ms
64 bytes from 192.168.3.3: icmp_seq=3 ttl=63 time=1.83 ms
64 bytes from 192.168.3.3: icmp_seq=4 ttl=63 time=0.987 ms
64 bytes from 192.168.3.3: icmp_seq=5 ttl=63 time=0.990 ms
64 bytes from 192.168.3.3: icmp_seq=6 ttl=63 time=1.13 ms
^C
--- 192.168.3.3 ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5007ms
rtt min/avg/max/mdev = 0.987/1.928/5.319/1.544 ms


#192.168.2.13から通信 -> NG

test@ubu04:~$ ping 192.168.3.3
PING 192.168.3.3 (192.168.3.3) 56(84) bytes of data.
^C
--- 192.168.3.3 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3023ms

特定の送信元IPアドレスからの通信だけ許可する設定

特定の送信元IPアドレスからの通信のみ許可して転送し、その他のIPアドレスを送信元とする
通信に関しては、ファイアウォールのインタフェースで遮断する設定を行います。

サンプル設定のシナリオ

  • 192.168.2.13を送信元IPアドレスとする通信だけ許可して転送したい
  • インタフェース(dp0s5)にインプットするトラフィックに対して有効化したい
  • 192.168.2.13以外の送信元IPアドレスからの通信は、すべて拒否して遮断したい
構成図
Fig2

シナリオにおける設定のながれ

1.パケットフィルタリング設定の名前 test_rule
2.192.168.2.13を送信元IPアドレスとするパケットを許可するルールを10として設定
3.192.168.2.13以外を送信元とするパケットについて拒否する設定
4.dp0s5 インタフェースにてインプット方向へ適用

CLIにて入力するコマンド

set interfaces dataplane dp0s5 firewall in 'test_rule'
set security firewall name test_rule default-action 'drop'
set security firewall name test_rule rule 10 action 'accept'
set security firewall name test_rule rule 10 source address '192.168.2.13'

注釈

シナリオと同じポリシーで、フィルタリング設定をアウトプット方向で適用したい場合は dp0s6 インタフェースにてout test_rule という形で指定してください。

正しく設定が完了したときのコンフィグレーションは次のとおりです。
interfaces {
       dataplane dp0s4 {
               address 192.168.1.50/24
       }
       dataplane dp0s5 {
               address 192.168.2.50/24
               firewall {
                       in test_rule
               }
       }
       dataplane dp0s6 {
               address 192.168.3.5/24
       }
}
security {
       firewall {
               name test_rule {
                       default-action drop
                       rule 10 {
                               action accept
                               source {
                                       address 192.168.2.13
                               }
                       }
               }
       }
}

動作確認結果

以下の検証結果ログから、検証構成図にあるサーバ(192.168.2.13)から
192.168.3.3あての通信(Ping)が成功しますが、フィルタリング設定を
実施したサーバ(192.168.2.12)から192.168.3.3あての通信(Ping)は失敗しており
パケットフィルタリング機能が動作していることが確認できました。
#192.168.2.13から通信 -> OK

test@ubu04:~$ ping 192.168.3.3
PING 192.168.3.3 (192.168.3.3) 56(84) bytes of data.
64 bytes from 192.168.3.3: icmp_seq=1 ttl=63 time=3.27 ms
64 bytes from 192.168.3.3: icmp_seq=2 ttl=63 time=4.03 ms
64 bytes from 192.168.3.3: icmp_seq=3 ttl=63 time=1.76 ms
64 bytes from 192.168.3.3: icmp_seq=4 ttl=63 time=2.03 ms
64 bytes from 192.168.3.3: icmp_seq=5 ttl=63 time=2.36 ms
^C
--- 192.168.3.3 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 1.769/2.695/4.034/0.841 ms


#192.168.2.12から通信 -> NG

test@ubu03:~$ ping 192.168.3.3
PING 192.168.3.3 (192.168.3.3) 56(84) bytes of data.
^C
--- 192.168.3.3 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4032ms

送信元IPアドレス(範囲指定)を利用した拒否設定

特定の送信元IPアドレス範囲からの通信をファイアウォールのインタフェースで遮断し
その他の送信元IPアドレスからの通信に関しては、転送する設定を行います。

サンプル設定のシナリオ

  • 192.168.2.12/30を送信元IPアドレスとする通信を遮断したい
  • インタフェース(dp0s5)にインプットするトラフィックに対して有効化したい
  • 192.168.2.12/30 以外の送信元IPアドレスからの通信は、すべて転送したい

注釈

192.168.2.12/30 の範囲にあるホストは、192.168.2.12,192.168.2.13,192.168.2.14,192.168.2.15 の4つのIPアドレスになります。

構成図
Fig3

シナリオにおける設定のながれ

1.パケットフィルタリング設定の名前 test_rule
2.192.168.2.12/30を送信元とするパケットを拒否するルールを10として設定
3.192.168.2.12/30以外を送信元とするパケットについて許可する設定
4.dp0s5 インタフェースにてインプット方向へ適用

CLIにて入力するコマンド

set interfaces dataplane dp0s5 firewall in 'test_rule'
set security firewall name test_rule default-action 'accept'
set security firewall name test_rule rule 10 action 'drop'
set security firewall name test_rule rule 10 source address '192.168.2.12/30'

注釈

シナリオと同じポリシーで、フィルタリング設定をアウトプット方向で適用したい場合は dp0s6 インタフェースにてout test_rule という形で指定してください。

正しく設定が完了したときのコンフィグレーションは次のとおりです。
interfaces {
       dataplane dp0s4 {
               address 192.168.1.50/24
       }
       dataplane dp0s5 {
               address 192.168.2.50/24
               firewall {
                       in test_rule
               }
       }
       dataplane dp0s6 {
               address 192.168.3.5/24
       }
}
 security {
       firewall {
               name test_rule {
                       default-action accept
                       rule 10 {
                               action drop
                               source {
                                       address 192.168.2.12/30
                               }
                       }
               }
       }
}

動作確認結果

以下の検証結果ログから、検証構成図にあるサーバ(192.168.2.6)から
192.168.3.3 への通信(Ping)が成功しますが、192.168.2.12/30に該当する送信元IPアドレスからの
通信(Ping)は失敗しておりパケットフィルタリング機能が動作していることが確認できました。
#192.168.2.6から通信 -> OK

test@ubu01:~$ ping 192.168.3.3
PING 192.168.3.3 (192.168.3.3) 56(84) bytes of data.
64 bytes from 192.168.3.3: icmp_seq=1 ttl=63 time=2.85 ms
64 bytes from 192.168.3.3: icmp_seq=2 ttl=63 time=0.910 ms
64 bytes from 192.168.3.3: icmp_seq=3 ttl=63 time=1.27 ms
64 bytes from 192.168.3.3: icmp_seq=4 ttl=63 time=1.70 ms
64 bytes from 192.168.3.3: icmp_seq=5 ttl=63 time=1.41 ms
64 bytes from 192.168.3.3: icmp_seq=6 ttl=63 time=1.05 ms
64 bytes from 192.168.3.3: icmp_seq=7 ttl=63 time=1.49 ms
^C
--- 192.168.3.3 ping statistics ---
7 packets transmitted, 7 received, 0% packet loss, time 6009ms
rtt min/avg/max/mdev = 0.910/1.528/2.855/0.596 ms

#192.168.2.12から通信 -> NG

test@ubu03:~$ ping 192.168.3.3
PING 192.168.3.3 (192.168.3.3) 56(84) bytes of data.
^C
--- 192.168.3.3 ping statistics ---
8 packets transmitted, 0 received, 100% packet loss, time 6999ms

送信元IPアドレス(範囲指定)を利用した許可設定

特定の送信元IPアドレスの範囲からの通信のみ許可して、その他のIPアドレスを送信元とする
通信に関しては、ファイアウォールのインタフェースで遮断する設定を行います。

サンプル設定のシナリオ

  • 192.168.2.4/30 からの通信だけ転送したい
  • インタフェース(dp0s5)にインプットするトラフィックに対して有効化したい
  • 192.168.2.4/30 以外の送信元IPアドレスからの通信はすべて遮断したい

注釈

192.168.2.4/30 の範囲にあるホストは、192.168.2.4,192.168.2.5,192.168.2.6,192.168.2.7 の4つのIPアドレスになります。

構成図
Fig4

シナリオにおける設定のながれ

1.パケットフィルタリング設定の名前 test_rule
2.192.168.2.4/30を送信元とするパケットを許可するルールを10として設定
3.192.168.2.4/30以外を送信元とするパケットについて拒否する設定
4.dp0s5 インタフェースにてインプット方向へ適用

CLIにて入力するコマンド

set interfaces dataplane dp0s5 firewall in 'test_rule'
set security firewall name test_rule default-action 'drop'
set security firewall name test_rule rule 10 action 'accept'
set security firewall name test_rule rule 10 source address '192.168.2.4/30'

注釈

シナリオと同じポリシーで、フィルタリング設定をアウトプット方向で適用したい場合は dp0s6 インタフェースにてout test_rule という形で指定してください。

正しく設定が完了したときのコンフィグレーションは次のとおりです。
interfaces {
       dataplane dp0s4 {
               address 192.168.1.50/24
       }
       dataplane dp0s5 {
               address 192.168.2.50/24
               firewall {
                       in test_rule
               }
       }
       dataplane dp0s6 {
               address 192.168.3.5/24
       }
}
security {
       firewall {
               name test_rule {
                       default-action drop
                       rule 10 {
                               action accept
                               source {
                                       address 192.168.2.4/30
                               }
                       }
               }
       }
}

動作確認結果

以下の検証結果ログから、検証構成図にあるサーバ(192.168.2.6)から
192.168.3.3 への通信(Ping)が成功しますが、192.168.2.4/30に該当しない送信元IPアドレスからの
通信(Ping)は失敗しておりパケットフィルタリング機能が動作していることが確認できました。
#192.168.2.6から通信 -> OK

test@ubu01:~$ ping 192.168.3.3
PING 192.168.3.3 (192.168.3.3) 56(84) bytes of data.
64 bytes from 192.168.3.3: icmp_seq=1 ttl=63 time=3.19 ms
64 bytes from 192.168.3.3: icmp_seq=2 ttl=63 time=2.01 ms
64 bytes from 192.168.3.3: icmp_seq=3 ttl=63 time=1.54 ms
64 bytes from 192.168.3.3: icmp_seq=4 ttl=63 time=1.94 ms
64 bytes from 192.168.3.3: icmp_seq=5 ttl=63 time=1.70 ms
64 bytes from 192.168.3.3: icmp_seq=6 ttl=63 time=1.41 ms
64 bytes from 192.168.3.3: icmp_seq=7 ttl=63 time=1.69 ms
64 bytes from 192.168.3.3: icmp_seq=8 ttl=63 time=1.49 ms
64 bytes from 192.168.3.3: icmp_seq=9 ttl=63 time=1.53 ms
^C
--- 192.168.3.3 ping statistics ---
9 packets transmitted, 9 received, 0% packet loss, time 8012ms
rtt min/avg/max/mdev = 1.410/1.837/3.197/0.519 ms


#192.168.2.12から通信 -> NG

test@ubu03:~$ ping 192.168.3.3
PING 192.168.3.3 (192.168.3.3) 56(84) bytes of data.
^C
--- 192.168.3.3 ping statistics ---
10 packets transmitted, 0 received, 100% packet loss, time 8999ms

送信元IPアドレス(アドレスグループ)を利用した拒否設定

アドレスグループを定義し、グループに含むIPアドレスを設定します。
アドレスグループに登録されているIPアドレスからの通信をファイアウォールのインタフェースで遮断し
その他のIPアドレスを送信元とする通信に関しては許可し転送させる設定をします。

注釈

アドレスグループは、複数のIPアドレスを登録されたリストになります。 グループ化することで、リストに対してのポリシーを設定することが可能です。

サンプル設定のシナリオ

  • IPアドレス 192.168.2.12と192.168.2.13 のアドレスからの通信を遮断したい
  • 上記アドレスをアドレスグループとして設定したい
  • インタフェース(dp0s5)にインプットするトラフィックに対して有効化したい
  • アドレスグループ以外の送信元IPアドレスからの通信はすべて転送したい
構成図
Fig5

シナリオにおける設定のながれ

1.パケットフィルタリング設定の名前 test_rule
2.192.168.2.12と192.168.2.13をアドレスグループ g1 として設定
3.アドレスグループg1を送信元IPとするパケットを許可するルールを10として設定
4.アドレスグループg1以外を送信元IPとするパケットについて拒否する設定
5.dp0s5 インタフェースにてインプット方向へ適用

CLIにて入力するコマンド

set interfaces dataplane dp0s5 firewall in 'test_rule'
set resources group address-group g1 address 192.168.2.12
set resources group address-group g1 address 192.168.2.13
set security firewall name test_rule default-action 'accept'
set security firewall name test_rule rule 10 action 'drop'
set security firewall name test_rule rule 10 source address 'g1'

注釈

シナリオと同じポリシーで、フィルタリング設定をアウトプット方向で適用したい場合は dp0s6 インタフェースにてout test_rule という形で指定してください。

正しく設定が完了したときのコンフィグレーションは次のとおりです。
interfaces {
       dataplane dp0s4 {
               address 192.168.1.50/24
       }
       dataplane dp0s5 {
               address 192.168.2.50/24
               firewall {
                       in test_rule
               }
       }
       dataplane dp0s6 {
               address 192.168.3.5/24
       }
}
resources {
       group {
               address-group g1 {
                       address 192.168.2.12
                       address 192.168.2.13
               }
       }
}
security {
       firewall {
               name test_rule {
                       default-action accept
                       rule 10 {
                               action drop
                               source {
                                       address g1
                               }
                       }
               }
       }
}

動作確認結果

以下の検証結果ログから、検証構成図にあるサーバ(192.168.2.6)から
192.168.3.3 への通信(Ping)が成功しますが、アドレスグループg1に該当するIPアドレスからの
通信(Ping)は失敗しておりパケットフィルタリング機能が動作していることが確認できました。
#192.168.2.6から通信 -> OK

test@ubu01:~$ ping 192.168.3.4
PING 192.168.3.4 (192.168.3.4) 56(84) bytes of data.
64 bytes from 192.168.3.4: icmp_seq=1 ttl=64 time=4.98 ms
64 bytes from 192.168.3.4: icmp_seq=2 ttl=64 time=0.920 ms
64 bytes from 192.168.3.4: icmp_seq=3 ttl=64 time=1.08 ms
64 bytes from 192.168.3.4: icmp_seq=4 ttl=64 time=1.08 ms
64 bytes from 192.168.3.4: icmp_seq=5 ttl=64 time=1.17 ms
64 bytes from 192.168.3.4: icmp_seq=6 ttl=64 time=1.63 ms
64 bytes from 192.168.3.4: icmp_seq=7 ttl=64 time=1.14 ms
^C
--- 192.168.3.4 ping statistics ---
7 packets transmitted, 7 received, 0% packet loss, time 6007ms
rtt min/avg/max/mdev = 0.920/1.718/4.980/1.347 ms


#192.168.2.12から通信 -> NG

test@ubu03:~$ ping 192.168.3.3
PING 192.168.3.3 (192.168.3.3) 56(84) bytes of data.
^C
--- 192.168.3.3 ping statistics ---
9 packets transmitted, 0 received, 100% packet loss, time 7999ms

送信元IPアドレス(アドレスグループ)を利用した許可設定

アドレスグループを定義し、グループに含むIPアドレスを設定します。
アドレスグループに登録されているIPアドレスからの通信を許可して
その他のIPアドレスを送信元とする通信に関しては
ファイアウォールのインタフェースで遮断する設定を行います。

注釈

アドレスグループは、複数のIPアドレスを登録されたリストになります。 グループ化することで、リストに対してのポリシーを設定することが可能です。

サンプル設定のシナリオ

  • IPアドレス 192.168.2.6と192.168.2.13 のアドレスからの通信だけを転送したい
  • 上記アドレスをアドレスグループとして設定したい
  • インタフェース(dp0s5)にインプットするトラフィックに対して有効化したい
  • アドレスグループ以外の送信元IPアドレスからの通信はすべて遮断したい
構成図
Fig6

シナリオにおける設定のながれ

1.パケットフィルタリング設定の名前 test_rule
2.192.168.2.6と192.168.2.13をアドレスグループ g1 として設定
3.アドレスグループg1を送信元IPとするパケットを許可するルールを10として設定
4.アドレスグループg1以外を送信元IPとするパケットについて拒否する設定
5.dp0s5 インタフェースにてインプット方向へ適用

CLIにて入力するコマンド

set interfaces dataplane dp0s5 firewall in 'test_rule'
set resources group address-group g1 address 192.168.2.13
set resources group address-group g1 address 192.168.2.6
set security firewall name test_rule default-action 'drop'
set security firewall name test_rule rule 10 action 'accept'
set security firewall name test_rule rule 10 source address 'g1'

注釈

シナリオと同じポリシーで、フィルタリング設定をアウトプット方向で適用したい場合は dp0s6 インタフェースにてout test_rule という形で指定してください。

正しく設定が完了したときのコンフィグレーションは次のとおりです。
interfaces {
       dataplane dp0s4 {
               address 192.168.1.50/24
       }
       dataplane dp0s5 {
               address 192.168.2.50/24
               firewall {
                       in test_rule
               }
       }
       dataplane dp0s6 {
               address 192.168.3.5/24
       }
}
resources {
       group {
               address-group g1 {
                       address 192.168.2.13
                       address 192.168.2.6
               }
       }
}
security {
       firewall {
               name test_rule {
                       default-action drop
                       rule 10 {
                               action accept
                               source {
                                       address g1
                               }
                       }
               }
       }
}

動作確認結果

以下の検証結果ログから、検証構成図にあるサーバ(192.168.2.6)から
192.168.3.3 への通信(Ping)が成功しますが、アドレスグループg1に該当しない
IPアドレスからの通信(Ping)は失敗しておりパケットフィルタリング機能が動作していることが確認できました。
#192.168.2.6から通信 -> OK

itest@ubu01:~$ ping 192.168.3.3
PING 192.168.3.3 (192.168.3.3) 56(84) bytes of data.
64 bytes from 192.168.3.3: icmp_seq=1 ttl=63 time=3.07 ms
64 bytes from 192.168.3.3: icmp_seq=2 ttl=63 time=1.19 ms
64 bytes from 192.168.3.3: icmp_seq=3 ttl=63 time=1.78 ms
64 bytes from 192.168.3.3: icmp_seq=4 ttl=63 time=1.43 ms
64 bytes from 192.168.3.3: icmp_seq=5 ttl=63 time=1.78 ms
64 bytes from 192.168.3.3: icmp_seq=6 ttl=63 time=1.31 ms
64 bytes from 192.168.3.3: icmp_seq=7 ttl=63 time=1.56 ms
64 bytes from 192.168.3.3: icmp_seq=8 ttl=63 time=1.54 ms
64 bytes from 192.168.3.3: icmp_seq=9 ttl=63 time=1.48 ms
^C
--- 192.168.3.3 ping statistics ---
9 packets transmitted, 9 received, 0% packet loss, time 8013ms
rtt min/avg/max/mdev = 1.194/1.684/3.071/0.524 ms

#192.168.2.12から通信 -> NG

test@ubu03:~$ ping 192.168.3.3
PING 192.168.3.3 (192.168.3.3) 56(84) bytes of data.
^C
--- 192.168.3.3 ping statistics ---
8 packets transmitted, 0 received, 100% packet loss, time 7055ms