• ベストアンサー

アライドテレシス8724SLについて

お世話になります。8724SLでハードウェアIPフィルターを しようと考えています。 構成は下記のとおりです Aサーバー IP 100.100.100.10・・・・・ポート10に接続してあります Bクライアント IP 100.100.100.20 Cクライアント IP 100.100.100.21 Aサーバーに接続出来るのはBクライアントのみにしたいので 下記のコマンドを実行しました。 ADD SWITCH L3FILTER MATCH=SIPADDR sclass=host dclass=host nomatchaction=deny EMPORT=TRUE add switch l3filter=1 entry sipaddr=100.100.100.20 eport=10 action=nodrop するとB以外からAに接続することは出来なくなったので 良かったのですが、Aサーバから、windows Update等webを見ることが出来なくなりました。 どなたかご存じの方がいらっしゃたらご教授下さい。

質問者が選んだベストアンサー

  • ベストアンサー
  • kuma-ku
  • ベストアンサー率54% (1558/2845)
回答No.4

一先ずは上手くいってよかったです。 今回止めた通信は”TCP”です。 よって、その他の”UDP”や”ICMP”は通してしまいます。 Ping はICMP なので、今回のルールにはヒットしないわけです。 Ping を止めたい場合は、ICMP を止める設定が必要です。 ただしそのままハードウェアIPフィルタで”Deny”してしまうと、 戻りのパケットまで破棄してしまうため、 両者のPing がNG となります。 これを回避する為には、【ソフトウェアIP フィルタ】で設定する必要があるのですが、 私が記憶している中では、両者の併用は禁止されていたのですが、 現在はどうなんでしょう。。。。 ※動作はするはずですが動作保証されない可能性があります。 http://www.allied-telesis.co.jp/support/list/switch/8724sl/m001901c/ADD_IP_FILTER.html もし、両方向のPing を禁止してもかまわなければ、 ハードウェアIPフィルタで止めてください。

kurateru
質問者

お礼

pingで戻りのパケットまで破棄されると困りますね(^_^;)でも、今回はかなり助かりました。また、質問することがあると思うので、その時はよろしくお願いいたします。

その他の回答 (3)

  • kuma-ku
  • ベストアンサー率54% (1558/2845)
回答No.3

ちょっと整理させてくださいね。。。 ・Server[100.100.100.10]宛の通信を全て拒否したい ・Server[100.100.100.10]からの通信は通したい となれば、以下の設定を行ってみてください。 ADD SWITCH L3FILTER MATCH=DIPADDR,PROTOCOL,TCPACK,TCPSYN DCLASS=HOST ADD SWITCH L3FILTER=1 ENTRY DIPADDR=100.100.100.10 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY

kurateru
質問者

お礼

ありがとうございます。ほぼ想定どおり出来ました。でもなぜpingは通ってしまうのでしょうか?

  • kuma-ku
  • ベストアンサー率54% (1558/2845)
回答No.2

こんにちは ”nomatchaction=deny”となっているため、 フィルタに定義されていない通信が破棄されてしまっていると思われます。 Client B からの接続を止めて、その他の通信を通したい場合、 Client B からServer A へのTCP/SYN パケットを止めて、 その他の通信は通す事で実現可能です。 以下のページが参考になると思いますので、 もう一度設定をしなおしてみてください。

参考URL:
http://www.allied-telesis.co.jp/support/list/switch/8724sl/m001901c/overview_08SWITCH_60HWF.html#sec14
kurateru
質問者

お礼

ありがとうございます。最初の説明が悪かったです。クライアントBの他にも通信を出来なくしたいのです。外部からのアクセスを一切拒否する感じで設定したいので基本的にはdenyで、許可されたIPのみ通信可という感じがしたいのですが、やはり無理なのでしょうか。プロクシサーバーのIPを許可にすればwebは見れるのですが、この他にいい方法がありましたら、お願いします。

  • priqn
  • ベストアンサー率14% (7/49)
回答No.1

こちらはどうですか?

参考URL:
http://www.allied-telesis.co.jp/others/inquiry.html
kurateru
質問者

お礼

ご回答ありがとうございます。この掲示板に投稿する前に何度かサポートとメールのやりとりしたのですが、有料サポートになるので詳しいことは言えないらしいのです(>_<)

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVE セレクト

質問する