MACアドレスフィルタの設定手順(MACアドレスリストの利用)
MACアドレスフィルタでの制御対象のMACアドレスの一覧を、外部サーバに設置したMACアドレスリストファイルから取得する設定手順を説明します。
パスまたはブロックの指定を行う端末数が多い場合や、コンフィグの管理と独立して対象MACアドレスを管理する場合に有用です。
複数のリストファイルを使用したり、コンフィグでの個別のMACアドレス指定とも併用して設定することができます。
デフォルトのポリシーをブロックとし、MACアドレスリストに登録されているホストからの通信を受信する設定手順です。ポリシーを逆にする場合は"pass","block"を適宜読み替えてください。
- 設定パラメータを用意する
表 1. 用意する設定パラメータの例 項目 値 備考 使用するプロトコル http リモートサーバのユーザ名 user 必要な場合 リモートサーバのパスワード password 必要な場合 リモートサーバのアドレス 192.168.0.10 IPアドレスまたはホスト名 リストの更新間隔 1時間 MACアドレスリストファイル macaddr-list.txt MACアドレスを列挙したテキストファイル - MACアドレスリストファイルのURLを追加する
# macfilter add List1 action pass src http://user:password@192.168.0.10/macaddr-list.txt interval 1h #- 設定識別子は"List1"としています。
- 更新間隔は、SEILがリストの取得を試行する間隔です。
- lan0以外のインタフェースを指定する場合は、"on lan2" のように指定する必要があります。
- URLにホスト名を使用する場合は、リゾルバが設定されている必要があります。
注: デフォルトのポリシーをブロックとし、かつ、リストファイルを設置するリモートサーバがMACアドレスフィルタを適用するインタフェース側にある場合は、リモートサーバまたは中継装置(直近のルータ等)のMACアドレスを許可する設定を直接コンフィグに設定する必要があります。 - 任意のMACアドレスのフィルタを設定する
# macfilter add DEFAULT action block src any #- 設定識別子は"DEFAULT"としています。
- lan0以外のインタフェースを指定する場合は、"on lan2" のように指定する必要があります。
- この例では、リスト内のMACアドレスについてパスし、それ以外のMACアドレスをブロックするものとしています。リスト側をブロックとする場合は、"src any"には"action pass"を指定してください。
- ステータスの確認
# show status macfilter name src address log passed blocked ---------------- ----------------- --- ---------------- ---------------- DEFAULT any off - 100 #- フィルタにマッチしたフレーム数等が表示されます。
- ログの確認
# show log function system 1 Jan 16 16:23:20 info system mfild: read configuration file 2 Jan 16 16:23:20 info system mfild: Retrieving URL http://***********@192.168.0.10/macfilter.txt #- 外部リストの読み込みに関するログが記録されます。
- 認証に関する部分は "***" で置き換えられます。
注:MACアドレスリストに不正な行が記載されている場合は、次のようにエラーを示すログが記録されます。
- MACアドレスリストファイル内に問題があった場合
system mfild: http://***********@192.168.0.10/macfilter.txt: 2: invalid format- URLに問題があった場合
info system mfild: Error retrieving URL http://***********@192.168.0.10/nacfilter.txt
以上で設定は終了です。