ACL Yamaha

YamahaのL3-SWを使用して、ACLによるフィルタリングルールを適用する

2023年12月5日



YamahaのL3スイッチ_アクセスリストフィルタリング適用手順

目的

L3スイッチを挟んで、4つの内部セグメント同士の通信設定を行う。通信要件は下記のアクセスリスト要件に則る

環境

  • YamahaのL3スイッチ
  • WindowsまたはUbuntu端末

ネットワーク構成

NW構成

アクセスリスト要件

    192.168.2.0/24からアクセス可能
    • 192.168.1.0/24
    • 192.168.3.0/24
    • 192.168.4.0/24
    192.168.1.0/24からアクセス可能
    • 192.168.2.0/24
    • 192.168.3.0/24
    • 192.168.4.0/24
    192.168.3.0/24からアクセス可能
    • 192.168.1.0/24
    • 192.168.4.0/24
    192.168.4.0/24からアクセス可能
    • 192.168.1.0/24
    • 192.168.3.0/24

設定手順

アクセスリスト(ACL)の作成

以下のようなACLを作成する

ACL1


# 192.168.1.0/24に対するACK応答(TCP)
access-list 1 10 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 ack
access-list 1 20 permit tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 ack
access-list 1 30 permit tcp 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255 ack

# 192.168.1.0/24へのアクセス許可(TCP)
access-list 1 40 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 1 50 permit tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 1 60 permit tcp 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255

# 192.168.1.0/24へのアクセス許可(UDP)
access-list 1 70 permit udp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 1 80 permit udp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 1 90 permit udp 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255

# 192.168.1.0/24へのアクセス許可(ICMP)
access-list 1 100 permit 1 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 1 110 permit 1 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 1 120 permit 1 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255

# インターネットへのアクセス許可(TCP、UDP)
access-list 1 130 permit tcp 192.168.2.0 0.0.0.255 host 0.0.0.0
access-list 1 140 permit tcp 192.168.3.0 0.0.0.255 host 0.0.0.0
access-list 1 150 permit tcp 192.168.4.0 0.0.0.255 host 0.0.0.0
access-list 1 160 permit udp 192.168.2.0 0.0.0.255 host 0.0.0.0
access-list 1 170 permit udp 192.168.3.0 0.0.0.255 host 0.0.0.0
access-list 1 180 permit udp 192.168.4.0 0.0.0.255 host 0.0.0.0
※ ACKを包含するので、インターネット向けのACK許可は不要

# 暗黙のdeny
access-list 1 190 deny any any any

ACL2


# 192.168.2.0/24から192.168.1.0/24に対するACK応答(TCP)
access-list 2 10 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 ack


# 192.168.2.0/24から各内部セグメントへのアccess許可(TCP)
access-list 2 20 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 2 30 permit tcp 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 2 40 permit tcp 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255

# 192.168.2.0/24から各内部セグメントへのアクセス許可(UDP)
access-list 2 50 permit udp 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 2 60 permit udp 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 2 70 permit udp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

# 192.168.2.0/24からインターネットへのアクセス許可(TCP、UDP)
access-list 2 80 permit tcp 192.168.2.0 0.0.0.255 host 0.0.0.0
access-list 2 90 permit udp 192.168.2.0 0.0.0.255 host 0.0.0.0

# 暗黙のdeny
access-list 2 100 deny any any any

ACL3


# 192.168.3.0/24から各内部セグメントに対するACK応答(TCP)
access-list 3 10 permit tcp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 ack
access-list 3 20 permit tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 ack
access-list 3 30 permit tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 ack

# 192.168.3.0/24から各内部セグメントへのアクセス許可(TCP)
access-list 3 40 permit tcp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 3 50 permit tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
※192.168.2.0/24へのアクセスは禁止のため追加しない

# 192.168.3.0/24から各内部セグメントへのアクセス許可(UDP)
access-list 3 60 permit udp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 3 70 permit udp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
※ 192.168.2.0/24へのアクセスは禁止のため追加しない

# 192.168.3.0/24から各内部セグメントへのアクセス許可(ICMP)
access-list 3 80 permit 1 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
※ echo replyのみを設定できないので、双方向で追加している
access-list 3 90 permit 1 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 3 100 permit 1 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

# 192.168.3.0/24からインターネットへのアクセス許可(TCP、UDP)
access-list 3 110 permit tcp 192.168.3.0 0.0.0.255 host 0.0.0.0
access-list 3 120 permit udp 192.168.3.0 0.0.0.255 host 0.0.0.0

# 暗黙のdeny
access-list 3 130 deny any any any

ACL4


# 192.168.4.0/24から各内部セグメントに対するACK応答(TCP)
access-list 4 10 permit tcp 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255 ack
access-list 4 20 permit tcp 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255 ack
access-list 4 30 permit tcp 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255 ack


# 192.168.4.0/24から各内部セグメントへのアクセス許可(TCP)
access-list 4 40 permit tcp 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 4 50 permit tcp 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255
※ 192.168.2.0/24へのアクセスは禁止のため追加しない

# 192.168.4.0/24から各内部セグメントへのアクセス
許可(UDP)
access-list 4 60 permit udp 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 4 70 permit udp 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255
※ 192.168.2.0/24へのアクセスは禁止のため追加しない

# 192.168.4.0/24から各内部セグメントへのアクセス許可(ICMP)
access-list 4 80 permit 1 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
※ echo replyのみを設定できないので、双方向で追加している
access-list 4 90 permit 1 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 4 100 permit 1 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255

# 192.168.4.0/24からインターネットへのアクセス許可(TCP、UDP)
access-list 4 110 permit tcp 192.168.4.0 0.0.0.255 host 0.0.0.0
access-list 4 120 permit udp 192.168.4.0 0.0.0.255 host 0.0.0.0

# 暗黙のdeny
access-list 4 130 deny any any any

ACLの適用

ACL1はOutbound、ACL2~4はInboundで物理ポートに適用する


!
interface port1.1
 switchport
 switchport mode access
 switchport access vlan 10
 access-group 1 out
 no shutdown
!
interface port1.2
 switchport
 switchport mode access
 switchport access vlan 20
 access-group 2 in
 no shutdown
!
interface port1.3
 switchport
 switchport mode access
 switchport access vlan 30
 access-group 3 in
 no shutdown
!
interface port1.4
 switchport
 switchport mode access
 switchport access vlan 40
 access-group 4 in
 no shutdown
!

疎通試験

L3スイッチを挟んで、対向のホスト同士で各通信プロトコルごとに疎通試験を実施する。

試験コマンド

Windowsホスト


# OpenPort確認
netstat -aon | findstr /i “LISTENING

# 疎通コマンド
Test-NetConnection -ComputerName [IP] -Port [Port]

Ubuntuホスト


# OpenPort確認
netstat -tnlp

# 疎通コマンド
netcat -z -v [IP] [Port]

試験結果の確認

意図したACLのポリシーにマッチしたかを下記のmatchカウントにより判断する。試験の前後でカウントが増えること。


# show access-list
IPv4 access list 1
     20 permit tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 ack [match= 4]
↓↓↓
     20 permit tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 ack [match= 6]

CATEGORIES & TAGS

ACL, Yamaha,

Author:

comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

【拡張ACL】ping許可について

no image

拡張ACL使用例

【YamahaL3SW】Access-listのtcp permit ack (established)で戻りのパケットを許可

PREV
sambaを使用してsmbサーバをdocker-composeで構築する
NEXT
Ubuntu上にdocker-composeでLychee-Redmineを構築する

カテゴリー

最近の投稿

最近の投稿

最近の投稿

Profile

むるし

フリーランスのインフラ系エンジニア。
備忘録で色々書いていきます。
お問い合わせは↓
mo-gyu@murci.net
LPIC303 Security

Search

Archive

%d人のブロガーが「いいね」をつけました。