LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@yt0f1(aruka sakaki)

Yamaha RTX1200 の動的フィルタについてコマンドリファレンスの解読を試みる

Posted at

はじめに

ネットワークの勉強をしようと Yamaha RTX1200 を購入したはいいもの、如何せん設定方法が難解で公式の設定事例を見てもコマンドの解説までは載っていませんでした。なのでコマンドリファレンス (PDF) の該当部から理解を試み、その結果を記した記事になります。

動的フィルタ

(PDF p.151, 152 に記載されています。)

ある通信が RTX1200 (以下ルーター)に入ってきたとき、定義済みのフィルタに則ってそれを処理します。

定義コマンド

コマンドは以下に示す書式を持ちます。
ip filter dynamic フィルタ番号 始点アドレス 終点アドレス filter 適用するフィルタのリスト

フィルタ番号は、この動的フィルタの番号となる数字で 1 ~ 21474836 の間から 1 つを重複しないように指定します。

始点アドレス、終点アドレスはそれぞれ、このコネクションを発信した機器の IP アドレスと、コネクションの宛先となる機器の IP アドレスを指します。

適用するフィルタのリストに列挙されたフィルタは、ここで指定したものの条件を満たすコネクションがルーターに入ってきたときに、そのコネクションとそれに対するレスポンスを通過させます。複数のフィルタを記載する際はそれぞれを半角空白で区切ります。複数のフィルタを列挙すると、それらすべての条件は AND で連結されます。(=列挙されたすべての条件を満たさなくてはいけない)

なお、適用するフィルタのリストの前には inout をそれぞれ配置することができます。
in を配置すると列挙したフィルタに記載された送信元 IP と送信先 IP が入れ替わった状態でコネクションに対して適用されます。
また、out を配置すると列挙したフィルタの送信元 IP と送信先 IP はそのままにコネクションに対して適用されます。

in, out が配置されている場合は、フィルタリストに列挙されたフィルタそれぞれで定義されている pass・reject などの動作種別と送信元・送信元 IP が無視され、 ip filter dynamic フィルタ番号 送信元IP 送信先IP filter フィルタリスト での 送信元IP送信先IP が適用されます。(検知時は除く)
動作種別の無視については、動的フィルタの「フィルタに合致したコネクションは通す」という性質により上書きされたことによる挙動です。

設定例とその解説

PDF p.152 の設定例をこれまでの解説に則って分解します。
(これ以降の例では、条件に合致しなかった通信をすべて破棄するフィルタ 2000 =(ip filter 2000 reject * * によって定義) が適用されていることとします。)

ip filter 10 pass * * udp * snmp
ip filter dynamic 1 * * filter 10

1 行目は、ルーター配下すべての IP のポート 1 ~ 65535 から発信され、同じくルーター配下すべての IP の SNMP 用ポート (=161) を送信先とする UDP プロトコルのコネクションをサーバーに記録することなく通過させるルールをフィルタ 10 として定義しています。

そして 2 行目では、フィルタ 10 に合致するコネクションが検知されたとき、そのコネクション自体とそれに対するレスポンスのコネクションを通過させるルールをフィルタ 1 として定義しています。

この 2 行の定義によりルーターは以下のように振る舞います。

  • UDP プロトコルで 192.168.1.100 のポート 2000 から 192.168.2.100 のポート 161 に対しての通信とそのレスポンスを通す

  • UDP プロトコルで 192.168.2.100 のポート 2000 から 192.168.1.100 のポート 161 に対しての通信とそのレスポンスを通す

  • UDP プロトコルで 192.168.1.100 のポート 2000 から 192.168.2.100 のポート 2000 に対しての通信を通さない(宛先のポートが SNMP用=161 ではないため)

in, out 付きの設定例

ip filter 10 192.168.1.0/24 192.168.2.0/24 * 3000
ip filter 11 192.168.2.0/24 192.168.1.0/24 3000 *
ip filter dynamic 1 192.168.1.0/24 192.168.2.0/24 filter 10 in 11 out 10

ルーターが 192.168.1.100 から 192.168.2.100 のポート 3000 に対する通信を検知したとき、その通信とそれに対するレスポンスを通す。

おわりに

数多くあるコマンドの 1 つを抜き出しただけでこの量になってしまうので、コマンドリファレンスが 841 ページで収まっているのはすごいことなのかもなと思いました。(小並感)

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?