1-1 パケット フィルタ

不適切なパケット を破棄し、適切なパケットだけを転送 するフィルタリング機能をパケットフィルタという。

1-2 アクセスリストの 用途

Ciscoルーターでは 、パケットフィルタの条件を指定する場合、 「アクセスリスト」を利用。アクセスリストとは、パ ケットの「条件」、パケットに対する「許可」「拒否 」を 記述した条件文のリスト。

1-3 アクセスリストの 動作

ルーターはパケッ トを受信すると、アクセスリストの条件文の1 行目から順番に、受信したパケットと 比較し、処理を決定する。また、アクセス リストの条件に一致しないパケットはルーター内で拒 否される。アクセスリストの最後の行に「全て拒否す る」という条件文が自動的に適用されている（暗黙の DENY）為。

★【アクセスリストの適用】

アクセスリストを 作成した後、ルーターのどのインターフェース にアクセスリストを適用するかを 決める必要がある。インターフェイスに適用する際に 入力パケットをチェックするのか 、出力パケットをチェックするのかを指定 する。

●アクセスリストINの方向

●アクセスリストOUTの方向

1-4 アクセスリストの作成方 法

アクセスリストを 作成するには、グローバルコンフィグレーションモー ドで｛acess-list｝コマンドを入力し、引数に＜番号 ＞＜処理＞＜条件＞を指定する。

【標準アクセス リストの設定例】

（config）♯access-list 1 permit 192.168.0.0

（config）♯access-list 1 deny 192.168.30.0

1-5 アクセスリストの番号

アクセスリストは 、複数作成できるため、それぞれの条件文を識別する には「アクセスリスト番号」を使う。また、アクセス リストには、次のような種類があり、アクセスリスト 番号の範囲や指定できる条件が異なる。

アク セスリスト番号	種類	指定できる条件
１〜９ ９	標 準IPアクセスリスト	送 信元アドレス
１００ 〜１９９	拡 張アクセスリスト	プ ロトコル番号、送信元IPアドレス、送信先IPアドレス 、ポート番号

★標準IPアクセスリスト

アクセスリスト番 号の「１−９９」を使った場合、IOSは「標準IPアクセ スリスト」として認識する。標準IPアクセスリストは 条件文の指定に《送信元IPアドレス》 を使用する。

★拡張IPアクセスリスト

アクセスリスト番 号の「１００−１９９」を使った場合、IOSは「拡張IP アクセスリスト」として認識する。拡張IPアクセスリ ストは条件文の指定に

●プロトコル番号

●送信元IPアドレ ス

●送信先IPアドレ ス

●ポート番号

を 使用する。

※アクセスリストを設定する際、一般的に 次の位置に設定するのが推奨されている。

●標準IPアクセスリストは、 できるだけ宛先に近いところ（ルーター/インターフェイス）でアウトバウンドに設定する。

●拡張IPアクセスリストは、 できるだけ送信元に近いところ（ルーター/インターフェイス）でインバウンドに 設定する。

1-6 ワイルドカードマスクの 必要性

「 ワイルドカードマスク」は、条件に指定したIPアドレ スとパケットのIPアドレスの比較範囲を指定し、フィ ルタリングの対象となるパケットを定義するもの。例 えばアクセスリストに次の様な条件文を作成する。

●「100.1.0.0」ネットワークから送信されたパケ ットを拒否⇒（access-list 1 deny 100.1.0.0)は 「100.1.0.0」ネットワークから送信されたパケットを 拒否するための条件文。

●「100.1.1.0」ネットワークから送信されたパケ ットを許可⇒（access-list 1 permit 100.1.1.0)は「 100.1.1.0」ネットワークから送信されたパケットを許 可するための条件文。

ただし、1つ目の条件文において「100.1.0.0」という 条件の「100.1」を比較範囲とするか、 「100.1.0」までを比較範囲とするか によって結果が異なる。今回は、「100.1.0」というア ドレスで始まるパケットだけをフィルタリングの対象 にする。しかし送信元のネットワークアドレスを条件 としただけでは、どこ までがその比較対照であるか明示できない。

そこで、比較範囲を指定する ためにワイルドカードが必要になる。

1-7 ワイルドカードマスクの 算出方法

ワイルドカードマスクを算出する方法は、次の通り。

�@条件として指定されているIPアドレスのうち、比較範囲とな る部分のbitを「0」で表現する。
�A比較範囲とならない部分のbitを「１」で表現する。
�B求められた2進数の値を、1オクテットごとに10進数で表記す る。

前の例の様に、IP アドレスが「100.1.0」で始まるものを条件の対象とする場合の ワイルドカードマスクは、「0.0.0.255」にな る。

●【複数のサブネットワークの指定】

特定の範囲のサブネットワ ークに対して同じ条件を指定する場合、ワイルドカード を使用すれば、条件を１行に集約できる。
例え ば、192.168.1.0から192.168.7.0の7つのサブネットワークに対 して同じ条件を作成するのであれば、共通の21ビットだけをチェ ックすればよいことになる。
この場合、ワイルドカードマスクの前に指定するサブネットアドレスは、比較範囲 内であればどのアドレスでもかまわない。

1-8 キーワードへの置き換え

アクセスリストは、管理者 が設定しやすいように、条件の一部をキーワードに置き換えて省略 できる。

●【アドレスの指定】

条件文の条件部 分のアドレス部が「0.0.0.0」で、ワイルドカ ードマスクが「255.255.255.255」の場合、その部 分を「any」というキーワードに置 き換えられる。
また、ワイルドカードマスクが「0.0.0.0」 の場合、その部分を「host」というキーワード に置き換えられる。

●【プロトコル名の指定】

特定のプロトコ ルで使うプロトコル番号やポート番号 の代わりにプロトコルの名前を指定する こともできる。
「TCP」や「FTP」などのように名称で指定するのが一般的。