2016年9月9日金曜日

Guest回線からLocalを遮断する

環境
 NEC IX2215
 GE0.0 動的アドレスのインターネット
 GE1.0 GUEST用LAN 192.168.1.0/24
 GE2.0 LOCAL用LAN 192.168.1.0/24
 denyしたいアクセスリスト先に入れて、その後に全て通すっていうスタイル。最初はdeny行だけいれてて、絶対間違ってるわけがない。こんな単純なfilterの癖に…なのに期待通りに動かない。どこにも繋がらない…。filterを消すと繋がる(当たり前)という稚拙なミスを一人で繰り広げてしまった。恥ずかしい。
# Guest隔離フィルタ
ip access-list guest-isolation  deny ip src any dest 192.168.168.0/24
# 最終全部許可
ip access-list all-permit  permit ip src any dest any
!
interface GigaEthernet1.0
  description GUEST1
  ip address 192.168.1.3/24
  ip filter guest-isolation 100 in
  ip filter all-permit 101 in
  no shutdown
別にこうやって書いても良いけど、parmit のany、anyは他でも流用しそうなので分けてもいいのかなと…。
# Guest隔離フィルタ
ip access-list guest-isolation  deny ip src any dest 192.168.168.0/24
ip access-list guest-isolation  permit ip src any dest any
!
interface GigaEthernet1.0
  description GUEST1
  ip address 192.168.1.3/24
  ip filter guest-isolation 100 in
  no shutdown 
ちなみにinterfaceに対して、 ip filterが1つも設定されてない時は全てparmit扱いで、1つでもfilterが存在すると暗黙のdenyに落ちるらしい。長らくちゃんとfilterなんて触ってなかったというか、ハードのFW任せ(業者まかせ)にしてたらこんな事になってたのね。
沈黙の艦隊みたいな響きだ。

0 件のコメント:

コメントを投稿