僕の備忘録(PC、UN*X、ネットワーク関連が中心)なんです。
自分の書いたところは適当(な時とか)に書き換えますので御了承を。
某ルータのコマンドで試行錯誤。
rejectをひとつ設けると、なんかぜんぶ通らないみたい。
ip/mask は/32が効かない。ユニキャストならmask不要というところか。
rejectの後にpassを設けるのがコツのようだ。
# show config | grep filter Searching ... ip lan1 secure filter in 1 2 3 ip filter 1 reject $HOST_A * tcp * www ip filter 2 reject $HOST_B * tcp * telnet ip filter 3 pass * * * * *
$HOST_A:~$ nmap $YROUTER Starting Nmap 6.47 ( http://nmap.org ) at 2015-10-30 17:38 JST Nmap scan report for $YROUTER Host is up (0.0075s latency). Not shown: 998 closed ports PORT STATE SERVICE 23/tcp open telnet 80/tcp filtered http Nmap done: 1 IP address (1 host up) scanned in 2.49 seconds
$HOST_B:~$ nmap $YROUTER Starting Nmap 6.40 ( http://nmap.org ) at 2015-10-30 17:38 JST Nmap scan report for $YROUTER Host is up (0.0075s latency). Not shown: 998 closed ports PORT STATE SERVICE 23/tcp filtered telnet 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in 1.24 seconds
$HOST_C:~$ nmap $YROUTER Starting Nmap 6.47 ( http://nmap.org ) at 2015-10-30 17:53 JST Nmap scan report for 192.168.0.53 Host is up (0.0076s latency). Not shown: 998 closed ports PORT STATE SERVICE 23/tcp open telnet 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in 0.17 seconds
ip lan1 secure filter in の後に3 2 1、もしくは3 1 2
の順に指定すると、ぜんぶが通ってしまった。
通したい通信を明示的にpassにして
それ以外をrejectにした方が
現実的かもしれない。
リンクはご自由にどうぞ。でもURLや内容が変った場合はあしからず。