説明

Milesight ルーターは強力なファイアウォール機能を搭載しており、本ガイドではそのアクセス制御リスト（ACL）の設定について詳細に説明します。ACLは、異なるシナリオやインターフェースに適用される2つのポリシーから構成され、柔軟な「拒否」と「許可」ルールにより、ルーターを通過するデータの流れを制御できます。

この記事のトポロジー図は以下のようにです:

要件

最新のファームウェアを搭載したMilesight ルーター

設定

Network -> Firewall -> ACL に移動し、アクセス制御リストを設定します。

Default Filter Policy: Accept/Deny

アクセス制御リストに含まれていないパケットは、デフォルトのフィルタポリシーで処理されます。

Type: extended/standard

Extended は、プロトコルタイプと宛先IPを指定できる拡張ACLコマンドです。

Standard は、ソースIPによるフィルタリングのみをサポートする標準ACLコマンドです。

ID: 標準タイプの場合、IDの範囲は1-99です。拡張タイプの場合、IDの範囲は100-199です。

Action: 許可/拒否

Protocol: IP/ICMP/TCP/UDP/1-255

1-255は、IPv4で定義された任意のプロトコル番号を入力できます。例: 1はICMP、4はIP、6はTCPです。

Source IP: データ パケットの送信元。

Source Wildcard Mask: 送信元ネットワーク アドレスのワイルドカード マスク。例えば、192.168.22.0 ネットワーク セグメントからのすべてのトラフィックを制御したい場合、0.0.0.255 を入力します。Source IP と Source Wildcard Mask を両方とも空白にすると、すべての IP を意味します。

Destination IP: データ パケットの送信先。

Destination Wildcard Mask: 宛先アドレスのワイルドカードマスク。Destination IPとDestination Wildcard Maskの両方を空白にすると、すべてのIPを意味します。

ICMP TypeとICMP Code: ICMPプロトコルを選択した場合、ICMPタイプとICMPコードを入力できます。異なるタイプとコードは異なるICMPパケットを定義します。例えば、タイプ0とコード0はpingエコー応答を意味し、タイプ3とコード1はホスト不可達を意味します。

Source Port Type と Destination Port Type: TCPまたはUDPプロトコルを選択した場合、制御したいポート番号を指定できます。例えば、目的ポートを22に設定するとSSHアクセスを制御できます。

Interface: ALCを適用するインターフェースを選択します。

In ACL: ルーターに入ってくるトラフィックを制御するACL。

Out ACL: ルーターから出るトラフィックを制御するACL。

Save をクリックし、Apply をクリック

例

シナリオ 1: PC 176.16.1.100 以外のすべてのトラフィックを許可

デフォルトポリシー: 許可

ACL ルール:

Interface List:

176.16.1.100 からのトラフィックはルーターを出る際に拒否されます。

シナリオ 2: 192.168.22.105 の PC の SSH アクセスを拒否

デフォルトポリシー: 許可

ACL ルール:

Interface List:

176.16.1.100 からのトラフィックは、192.168.22.105 の SSH アクセスを除き、すべてアクセス可能です。

シナリオ3: PC 176.16.1.100 への ping エコーを拒否

デフォルトポリシー: 許可

ACL ルール:

Interface List:

176.16.1.100 はすべてのリソースにアクセスできますが、ICMP ping エコーを受信できません。