dポイントプレゼントキャンペーン実施中!

同一セグメントでポートのフィルタリング

締切済

  • 質問者:kenta28
  • 質問日時:
  • 回答数:2

社内を192.168.0.0/24のネットワークで構成しています。

サーバのセキュリティの関係から、同一セグメント上でポートフィルタリングを掛けたいのですが、同一セグメントで可能でしょうか。

192.168.0.0/24
 |
フィルタリング(レイヤースイッチ?)
 |
192.168.0.0/24


よろしくおねがいします 

通報する

この質問への回答は締め切られました。

質問の本文を隠す

A 回答 (2件)

No.2

  • 回答者: kuma-ku
  • 回答日時:

こんばんは


基本的に、入出力のPort 単位でIP フィルタリング可能なものを探す必要があります。

http://www.allied-telesis.co.jp/products/list/sw …
http://www.allied-telesis.co.jp/products/list/sw …

同一サブネット内の場合、通常スイッチング処理されてしまいます。
それを、IP ヘッダまで確認できるL3スイッチが必要です。
----------
■ ハードウェアIPフィルターは、ルーティングされない同一IPネットワーク内のトラフィックに対しても有効です。そのため、「192.168.10.0/24から他ネットワークへのTCPコネクション確立要求を拒否」するつもりで次のような設定を行うと、192.168.10.0/24内でもTCPの通信ができなくなってしまいます。

ADD SWITCH L3FILTER MATCH=SIPADDR,PROTOCOL,TCPSYN,TCPACK SCLASS=C ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY ↓

通常、ネットワーククラス単位でフィルターを設定するとき(SCLASS、DCLASSにA, B, Cまたは1~32のマスク長を指定したとき)は、前の例のように送信元(SIPADDR)と宛先(DIPADDR)の両方を指定してください。

参考URL:http://www.allied-telesis.co.jp/support/list/swi …
    • good
    • 0
通報する

No.1

  • 回答者: suzui
  • 回答日時:

(機種によって)できます。



たとえばCisco Catalyst3550など。
フィルタリング要件の複雑さによって、
上位機種である6500などが適切な場合もあります。

参考URLは3550のマニュアルの該当部分です。

参考URL:http://www.cisco.com/japanese/warp/public/3/jp/s …
    • good
    • 0
通報する

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

Q質問する(無料)

関連するカテゴリからQ&Aを探す

ページトップページトップ

Q質問する(無料)

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

おすすめ情報