IPフィルターの設定

RTX830でVLAN1,VLAN2,VLAN3を設定しています。それぞれからインターネット接続はできるが、VLAN2,VLAN3に接続している機器からVLAN1に接続している機器に接続できないようにしたいのですが、どのようにIPフィルターを設定すればいいですか?教えてください。

RTX830で複数のVLANを構築している場合、ルーター標準機能である「VLAN間フィルター(VLAN相互接続インターフェースグループ)」を活用するのが最も簡単かつ確実です。以下の手順で、VLAN2およびVLAN3からVLAN1への通信を遮断しつつ、インターネットへの通信は許可できます。 [1]

設定の考え方

VLAN間フィルターは、指定したインターフェースグループ同士の通信を許可し、グループ外(設定されていないインターフェース間)の通信をすべて遮断する仕組みです。そのため、「通信を許可したいグループ」を定義するだけで、不要なVLAN間アクセスをすべて防ぐことができます。 [1]

 

VLAN1 ルータ設定、スターリンク設定、管理用 192.168.100.0/24

VLAN2 事務所内用 サーバーアクセス、    192.168.10.0/24
VLAN3 一般アクセスポイント用、 インターネット接続のみ 192.168.20.0/24

 

新しいWebGUIでの設定手順

  1. ルーターの管理画面で、上部メニューの 「詳細設定」 をクリックします。
  2. 左メニューから IPフィルター」 を選択します。
  3. 画面にLAN1、LAN2などのインターフェース一覧が表示されるので、VLAN2」の「確認」 ボタンをクリックします。
  4. 「受信方向のフィルターを表示」 と表示されているのを確認し、その下にある 「静的フィルター」の「編集」 ボタンをクリックします。
  5. 「新規」 をクリックし、まずは「VLAN1への通信を遮断するルール」を以下のように入力して 「確認」「設定の確定」 をクリックします。
    • 動作: 破棄 (reject)
    • 送信元IPアドレス: VLAN2のネットワーク(例: 168.10.0/24)
    • 宛先IPアドレス: VLAN1のネットワーク(例: 168.100.0/24)
    • プロトコル: 任意
  6. 再び 「新規」 をクリックし、今度は「それ以外の通信(インターネット)を許可するルール」を以下のように入力して 「確認」「設定の確定」 をクリックします。
    • 動作: 通過 (pass)
    • 送信元IPアドレス: 任意(またはVLAN2のネットワーク)(例: 168.10.0/24)
    • 宛先IPアドレス: 任意
    • プロトコル: 任意
  7. 作成した2つのフィルターのチェックボックスにチェックを入れ、「先頭に追加」 または 「追加」 をクリックして「適用フィルター」の欄に移動させます。
  8. 画面下の 「確認」 をクリックし、最後に 「設定の確定」 をクリックします。

重要なポイント
新しいGUIでも適用の順番が命です。「適用フィルター」の一覧で、必ず 「破棄(192.168.100.0/24宛て)」が上(先) にあり、「通過(任意宛て)」が下(後) に並んでいることを確認してください。

VLAN3(例: LAN1.3)についても、手順3でVLAN3のインターフェースを選択し、送信元IPアドレスをVLAN3のものに置き換えて全く同じ手順を繰り返してください。

 

 

VLAN 3から、VLAN1VLAN2へ見に行かないように設定する

インターネットはできる。

  1. ルーターの管理画面で、上部メニューの 「詳細設定」 をクリックします。
  2. 左メニューから IPフィルター」 を選択します。
  3. 画面にLAN1、LAN2などのインターフェース一覧が表示されるので、VLAN3」の「確認」 ボタンをクリックします。
  4. 「受信方向のフィルターを表示」 と表示されているのを確認し、その下にある 「静的フィルター」の「編集」 ボタンをクリックします。
  5. 「新規」 をクリックし、まずは「VLAN1への通信を遮断するルール」を以下のように入力して 「確認」「設定の確定」 をクリックします。
    • 動作: 破棄 (reject)
    • 送信元IPアドレス: VLAN2のネットワーク(例: 168.20.0/24)
    • 宛先IPアドレス: VLAN1のネットワーク(例: 168.100.0/24)
    • プロトコル: 任意
  6. 再び「新規」 をクリックし、まずは「VLAN2への通信を遮断するルール」を以下のように入力して 「確認」「設定の確定」 をクリックします。
    • 動作: 破棄 (reject)
    • 送信元IPアドレス: VLAN2のネットワーク(例: 168.20.0/24)
    • 宛先IPアドレス: VLAN1のネットワーク(例: 168.10.0/24)
    • プロトコル: 任意
  7. 再び 「新規」 をクリックし、今度は「それ以外の通信(インターネット)を許可するルール」を以下のように入力して 「確認」「設定の確定」 をクリックします。
    • 動作: 通過 (pass)
    • 送信元IPアドレス: 任意(またはVLAN2のネットワーク)(例: 168.20.0/24)
    • 宛先IPアドレス: 任意
    • プロトコル: 任意
  8. 作成した2つのフィルターのチェックボックスにチェックを入れ、「先頭に追加」 または 「追加」 をクリックして「適用フィルター」の欄に移動させます。
  9. 画面下の 「確認」 をクリックし、最後に 「設定の確定」 をクリックします。

重要なポイント
新しいGUIでも適用の順番が命です。「適用フィルター」の一覧で、必ず 「破棄(192.168.100.0/24宛て)」「破棄(192.168.20.0/24宛て)」が上(先) にあり、「通過(任意宛て)」が下(後) に並んでいることを確認してください。