実現したい挙動
下記のイラストを見てもらえれば一目瞭然だが。
右のPCから左のPCへのPingを拒否したいということ。
実現方法としては次の通り。
192.168.200.2/24からPingをOUTはさせるが、INするときに拒否するようにする。
そうすることで、192.168.100.2からは192.168.200.2に対してのPingだけは許可することができるようになる。
実現方法(コマンド)
追加するルールは以下の通り
ip filter 1 reject 192.168.200.0/24 192.168.100.0/24
ip filter 2 pass * *
ip filter dynamic 3 * * ping
ip vlan2 secure filter in 1 2
ip vlan2 secure filter out dynamic 3
savefilter1で宛先192.168.100.0に関する通信を遮断している。
filter2でそれ以外の通信は許可している。(192.168.100.1からの通信が通るのはこれが理由)
filter3でOUTに動的な通信としてPingを指定している。(ここでOUTだけは許可している)
余談
意外とこのあたりの設定方法がしらべても出てこないので記事にしてみた。
片方のネットワークからはPINGしたいけど、もう片方のほうからはPINGは拒否したいという要件はあると思うんですよね。
たとえば、管理用のネットワークからは各サーバーの死活を監視したいけど、
サーバー側からは管理ネットーワークは見られたくない。
といった要件とか。
この設定方法はYAMAHA公式のサポートに問い合わせた結果ですのでおそらく間違いはないかと思いますが、
これ以外にも良い設定方法があれば教えてください!
コメント