■FWのフィルター設定で、特定のIPセグメントのPCのみ、通過できるような設定にしたいのですが、、、

【設定】
FWのフィルター設定で、特定のIPセグメントのPCのみ、通過できるような設定を行いたいと思っています。

【質問】
例えば、10.10.10.0/24セグメント上のPCの通信からのみ通過させたい場合、以下A,B,Cの設定のどれでしょうか？

A：送信元IP＝10.10.10.0-10.10.10.255 の通信を通過。　後はすべて破棄。
B：送信元IP＝10.10.10.1-10.10.10.254 の通信を通過。 後はすべて破棄。
C：どちらでもOK。

【聞きたいポイント】
10.10.10.0はネットワークアドレス，10.10.10.255はブロードキャストアドレスなので、
それが発信元にならないかと思うので、Bで問題ないでしょうか？
それとも、普通はAにするのでしょうか？

No.2 ベストアンサー 回答者： Toshi0230 回答日時： 2007/09/26 01:02

質問の趣旨は、送信元のIPの設定を10.10.10.0/24とした場合、実際に許可されるアドレスの範囲がAかBかどちらか、ということでしょうか？

であれば、Aになると思います。
しかしながら、実際の送信元サブネットが10.10.10.0/24なのであれば、10.10.10.0と10.10.10.255はホストアドレスとして指定できませんから、現実としてBの範囲を許可することになります。

A,B どちらを設定すればよいか、ということであればどちらでも構いませんが、たぶんたいていのファイアウォールではネットワーク単位の送信元指定もできると思うので、あまり悩むところではないような気もします（＾＾；

この回答への補足

＞A,B どちらを設定すればよいか、ということであればどちらでも構いませ
＞んが、たぶんたいていのファイアウォールではネットワーク単位の送信元
＞指定もできると思うので、あまり悩むところではないような気もします
はい、どちらでもよいと思うのですが、Bのほうで設定しました。
おっしゃるとおりネットワーク単位（10.10.10.0/24のような）で送信元指定
できるので、そのように直したほうが、いいかなぁとちょっと悩んでいる次第です（まだ変更できる時期なので）。
どちらでもよいなら、特に直す必要ないですかね。
（10.10.10.0/24のように指定したほうが見栄えがいいような気がしたので・・・・。（普通このように設定するる気がしてきたので・・））

補足日時：2007/09/26 01:50

No.3 回答者： Toshi0230 回答日時： 2007/09/28 00:08

> （10.10.10.0/24のように指定したほうが見栄えがいいような気がしたので・・・・。

（普通このように設定するる気がしてきたので・・））

私の知る範囲では、ネットワーク表記ができるものであればネットワーク表記していますね。その方が見た目も簡単ですし、分かりやすいですし。
たぶん、プログラム的にもそちらの方が処理が早いと思います（まぁ、最近の機器は処理能力が高いので誤差のうちでしょうけど…）

No.1 回答者： bonnumaman 回答日時： 2007/09/25 21:40

ファイヤーウォールですよね。

ブロードキャストをＦＷの先に通しても意味ないと思いますが。
Ｂだと思います。

それから送信先の設定もあると思いますが。
ＢのポリシーはＤＭＺにのみアクセス可能とか。方向が不明ですが。

この回答への補足

ご回答ありがとうございます。

＞ブロードキャストをＦＷの先に通しても意味ないと思いますが。
＞Ｂだと思います。
すみません、そのフィルター設定は、送信元についてのみの指定です。
送信先は今回の聞きたいポイントに関係ないので割愛しましたが、
DMZの特定サーバです（実際の設定では、送信先のアドレスも書きます。）。

聞きたいポイントは、送信元のアドレス範囲が、AになるのかBなのか
について確認したかったです。

わかりづらい文章でしたら、すみません。

補足日時：2007/09/25 22:16