今回は、イーサーネットフィルタについて紹介します。
目次
イーサネットフィルタ
イーサネットフィルタはMACアドレスをベースにしたフィルタリング方法です。これは、通信を許可する端末のMACアドレスを登録しておきます。
これらは、フィルタの定義を行った後、適用していきます
イーサネットフィルタの設定
ethernet filter [フィルタ番号] [アクション] [送信元MACAddress] [宛先MACAddress(省略可)]一つひとつのパラメータについて確認していきます。
パラメータ:アクション
アクションパラメータは、イーサネットパラメータにマッチしたときの処理内容になります。
| 値 | ログ記録 | 動作 |
| pass | なし | 通過 |
| pass-log | あり | 通過 |
| pass-nolog | なし | 通過 |
| reject | あり | 遮断 |
| reject-log | あり | 遮断 |
| reject-nolog | なし | 遮断 |
パラメータ:MAC Address
MAC Addressパラメータ(送信元/宛先)は、16進数表記とワイルドカード表記となります。宛先MACAddressパラメータは省略できます。
| 値 | 値の例(MACAddress) | 備考 |
| 16進数表記 | AA:BB:CC:11:22:33 | – |
| pass-log | AA:BB:CC:*:*:* | – |
| * | 全てのMACAddress |
インターフェイスへのイーサネットフィルタ適用設定
ethernet [インタフェース] filter [方向] [フィルタリスト]パラメータ:方向
方向パラメータは、in か out になります。
| 値 | 詳細 |
| in | LAN側から着信するフレームをフィルタする |
| out | LAN側へ発信するフレームをフィルタする |
パラメータ:フィルタリスト
フィルタリストパラメータは、単独または複数のフィルタ番号です。複数のフィルタ番号の場合、スペース区切りで最大100個設定できます。
参考例として、端末A、端末B、端末CがルータのLANインタフェース(192.168.1.0/24)経由で接続されていて、端末1のみ、サーバへのアクセスを許可する設定を行います。
Router1# ip lan1 address 192.168.1.10/24 ①
Router1# ip lan2 address 10.0.1.10/24
Router1#
Router1# ethernet filter 1 pass aa:bb:cc:11:22:01 * ②
Router1# ethernet filter 2 reject * * ③
Router1#
Router1# ethernet lan1 filter in 1 2 ④
Router1#① LAN1 インタフェースのIPアドレスを設定
② 送信元MACアドレスがaa:bb:cc:11:22:01からのフレームを許可するイーサネットフィルタ(フィルタ番号1)を設定する
③ 全てのフレームを破棄するイーサネットフィルタ(フィルタ番号2)を設定する
④ フィルタ番号1と2のイーサネットフィルタをLAN1インタフェースのIN方向に適用する
イーサネットフィルタの設定内容
| フィルタ番号 | 送信元MACアドレス | 宛先MACアドレス | 動作 |
| 1 | aa:bb:cc:11:22:01 | *:*:*:*:*:* | pass |
| 2 | *:*:*:*:*:* | *:*:*:*:*:* | reject |
このようにMACアドレス単位でフィルタをかけることで、端末単位でのアクセス制御によるセキュリティ対策を実現できます。
YAMAHAルータのセキュリティ対策については随時、加筆、修正を行なっていきますが、参考にしていただければと思います。
なお、本設定は動作を100%保証するものではありません。
ご自身の環境に応じて、設定を行い、自己責任での対策をお願い致します。
