アライドテレシス8724SLについて

http://bicniws.okweb.jp/kotaeru.php3?q=1413494
で質問した者です。
外部への通信がうまくいったと思ったのですが、
外部のftpサーバーへのアクセスが出来なくなりました。
webを見るには大丈夫なんですが。
よろしくお願いいたします。

No.4 ベストアンサー 回答者： kuma-ku 回答日時： 2005/06/03 15:18

ん？では、違う話ということで考えますね。

＞VLANを組むにはサーバーのIPアドレス等を変えないといけないですよね？

ビンゴです。

今回、以下の条件でフィルタする場合には、
＞ ARP を通す
＞ ・100.100.100.0 から100.100.100.10 への接続は許可（それ以外は不可）
＞ ・100.100.100.10 からはすべてホストに通信可
＞ にするのが目的です。

次のような設定になります。

ADD SWITCH L3FILTER MATCH=type ty=ethii
ADD SWITCH L3FILTER=1 entry ty=806 action=nodrop

ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=HOST
ADD SWITCH L3FILTER=2 ENTRY SIPADDR=100.100.100.10 ACTION=NODROP

ADD SWITCH L3FILTER MATCH=SIPADDR,DIPADDR,PROTOCOL,TCPACK,TCPSYN SCLASS=C nomatchaction=deny DCLASS=HOST
ADD SWITCH L3FILTER=3 ENTRY SIPADDR=100.100.100.0 DIPADDR=100.100.100.10 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=NODROP

フィルタ1 で、ARP を通します。
フィルタ2 で、100.100.100.10 からの通信を通します。
フィルタ3 で、100.100.100.0/24 から100.100.100.10 へのSYN を通します。

しかしこれだけでは、
100.100.100.0/24 から100.100.100.10 へのACK が通らないため、
100.100.100.0/24 から100.100.100.10 への接続はできません。

よって、以下のフィルタも追加で必要です。

ADD SWITCH L3FILTER=3 ENTRY SIPADDR=100.100.100.0 DIPADDR=100.100.100.10 PROTOCOL=TCP TCPSYN=FALSE TCPACK=TRUE ACTION=NODROP

ご存知だと思いますが、HOST1 からHOST2 に
TCP でセッションを確立する場合、
以下のフローをたどります。

HOST1----->HOST2

　　---(SYN)-->
　<--(SYN/ACK)---
　　---(ACK)-->

多分これで動くと思いますが、RST パケットを通すのかが、
疑問です。。。
FIN は、ACK を許可しているのでおそらく通すとおもいます。
検証していないので、確証は持てないですが、、、。


余談ですが、、、
コマンドリファレンスに、TCPSYN またはTCPACK を設定で、
以下のような記載がありました。

”EPORTパラメーターとは併用しないこと。”
http://www.allied-telesis.co.jp/support/list/swi …

この回答への補足

返事遅れまして申し訳ありません。うちのＤＢサーバがクラッシュして、スイッチのテストがまだ出来てません。もうしばらくお待ち下さい。

補足日時：2005/06/06 20:10

この回答へのお礼

今、検証終わりました(^_^;)とりえず、バッチシです。
ほんとにkuma-kuさんにはお世話になりました。また、いろいろとお世話になるかもしれませんが、またまたよろしくお願いいたします。

お礼日時：2005/06/07 11:47

No.3 回答者： kuma-ku 回答日時： 2005/06/03 11:17

＞ ARP を通す

＞ ・100.100.100.0 から100.100.100.10 への接続は許可（それ以外は不可）
＞ ・100.100.100.10 からはすべてホストに通信可
＞ にするのが目的です。

あれ？当初と目的が違うような気がしますが、、、。
”100.100.100.0 から100.100.100.10 への接続は許可”
してしまって宜しいんでしょうか？

以上の条件であれば、
・NW[100.100.100.0/24]内の通信は可能
・その他のNW から[100.100.100.10]への通信は不可
と言う事になり、
VLAN の設定だけで事足りるのですが。。。

この回答へのお礼

ありがとうございます。すいません。説明不足でした。
サーバーの種類によって、フィルタリングの設定が変わるのです。最初の目的のサーバーもあれば、今回の目的のサーバーもあります。VLANを組むにはサーバーのIPアドレス等を変えないといけないですよね？サーバーが２０台ありIPアドレスの振り方も規則性がないのです。ということでてっとりばやく、ハードウェアIPフィルタリングをしたいと思ったのですが。よろしくお願いいたします。

お礼日時：2005/06/03 11:53

No.2 回答者： kuma-ku 回答日時： 2005/06/03 00:19

なんかしっくり来ないです。

。。

”show switch l3filter=1 entry”
のコマンドで、現状のフィルタ条件を確認してみてください。


ADD SWITCH L3FILTER MATCH=SIPADDR sclass=host dclass=host 【nomatchaction=deny】 EMPORT=TRUE
ADD SWITCH L3FILTER=1 ENTRY DIPADDR=100.100.100.10 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY

恐らく、【nomatchaction=deny】が悪さをしていると考えます。

Allied のハードウェアL3 フィルタは、
”ADD SWITCH L3FILTER=番号 ENTRY ”でフィルタの内容を定義しますが、
フィルタの番号が同じであると、同じマッチングを探します。
違う番号の場合、別々のフィルタと認識します。
よって、フィルタの条件を変更しない場合は同じ番号でOK ですが、
条件を変更する場合は、番号も変更してください。

□設定例
192.168.10.0/24からのパケットは原則拒否だが、192.168.10.103からのパケットだけは許可
ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=C
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 ACTION=DENY
ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=HOST
ADD SWITCH L3FILTER=2 ENTRY SIPADDR=192.168.10.103 ACTION=NODROP

今回の設定では
・ARP を通す
・100.100.100.0 から100.100.100.10 への接続を禁止する
・100.100.100.10 から100.100.100.0 への通信は通す
と言うことであれば、

ADD SWITCH L3FILTER MATCH=SIPADDR,DIPADDR,PROTOCOL,TCPACK,TCPSYN SCLASS=C DCLASS=HOST EMPORT=TRUE
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=100.100.100.0 DIPADDR=100.100.100.10 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE EPORT=10 ACTION=DENY

これだけでいけると思います。。。

この回答へのお礼

すいません。記述が間違っておりました。
filter =1
ADD SWITCH L3FILTER MATCH=type ty=ethii
ADD SWITCH L3FILTER=1 entry ty=806 action=nodrop
filter=2
ADD SWITCH L3FILTER MATCH=SIPADDR sclass=host dclass=host nomatchaction=deny EMPORT=TRUE
ADD SWITCH L3FILTER=2 ENTRY DIPADDR=100.100.100.10 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY
filter=3
ADD SWITCH L3FILTER MATCH=SIPADDR, sclass=C EMPORT=TRUE
add switch l3filter=3 entry sipaddr=100.100.100.0 eport=10 action=nodrop
実際は
ARP を通す
・100.100.100.0 から100.100.100.10 への接続は許可（それ以外は不可）
・100.100.100.10 からはすべてホストに通信可
にするのが目的です。申し訳ありませんが、よろしくお願いいたします。

お礼日時：2005/06/03 09:20

No.1 回答者： kuma-ku 回答日時： 2005/06/02 10:56

こんにちは

再びお邪魔いたします。
前回の設定では、FTP Server への接続は上手くいくはずですが、
接続すらNG でしょうか？

データ送受信や操作がNG の場合は、
PASV モードでの接続を行ってみてください。

また、フィルタ設定に追加した物があれば、
教えてください。

この回答へのお礼

またまたお世話になります(^^;)
Windowsサーバーからは接続可。コマンドを受け付けない状態でした。
ソラリスからは接続不可でした。
windowsのコマンドプロンプトではPASVの設定が出来ないのでPASVモードの接続はしてないです。
また、ソラリスへのtelnet等での接続も不安定になりました。
一応こんな設定をしました。
filter =1
ADD SWITCH L3FILTER MATCH=type ty=ethii
ADD SWITCH L3FILTER=1 entry ty=806 action=nodrop
filter=2
ADD SWITCH L3FILTER MATCH=SIPADDR sclass=host dclass=host nomatchaction=deny EMPORT=TRUE
ADD SWITCH L3FILTER=1 ENTRY DIPADDR=100.100.100.10 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY
filter=3
ADD SWITCH L3FILTER MATCH=SIPADDR, sclass=C EMPORT=TRUE
add switch l3filter=1 entry sipaddr=100.100.100.0 eport=10 action=nodrop
何か確認しないといけないことがありましたら、ご報告しますのでよろしくお願いいたします。

お礼日時：2005/06/02 20:40