仮想HubのACLの書き方について

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
vita
Posts: 6
Joined: Wed Apr 15, 2020 12:19 pm

仮想HubのACLの書き方について

Post by vita » Wed Apr 15, 2020 12:29 pm

下記のようなACLを書いたのですがうまく動作しません。
書き方に問題がありますでしょうか。

No.0001 any DNSサーバ許可
No.0002 any DHCPサーバ許可
No.0003 any プロキシサーバ許可
No.0004 Grp00 全アドレス許可
No.0010 Grp01 Aサーバ許可
No.0010 Grp01 全アドレス拒否
No.9999 any 全アドレス拒否

Grp00の中にユーザを一人追加し、そのユーザで接続しています。
No.0004のルールが無視をされているのか、No.0001~0003のサーバ以外に
接続ができません。
全アドレスを許可するのであれば、拒否ルールだけを書いて
No.9999のようなルールは書かない方がいいのでしょうか。

cedar
Site Admin
Posts: 1397
Joined: Sat Mar 09, 2013 5:37 am

Re: 仮想HubのACLの書き方について

Post by cedar » Thu Apr 16, 2020 10:43 am

Grp00のユーザーは、どのアドレスとの通信も許可したいという意味でしょうか。
行きと帰りの通信を許可する必要があるので、少なくとも2つルールが必要だと思うのですが、どのような記述になっているでしょうか。

vita
Posts: 6
Joined: Wed Apr 15, 2020 12:19 pm

Re: 仮想HubのACLの書き方について

Post by vita » Fri Apr 17, 2020 6:35 am

grp00はこのSSのように書いております。
grp00.PNG
これに対して、送信元の名前を「空欄」、宛先の名前を「Group00」ってルールが必要ということでしょうか。

ユーザーもしくはグループを指定したフィルタを作成する場合は、行きだけの許可だけではなく
必ず戻りの許可も必要ということでしょうか。
行き
grp03_1.PNG
戻り
grp03_2.PNG
You do not have the required permissions to view the files attached to this post.

vita
Posts: 6
Joined: Wed Apr 15, 2020 12:19 pm

Re: 仮想HubのACLの書き方について

Post by vita » Fri Apr 17, 2020 8:10 am

画像の貼り付けが出来ないようなので画像の内容です。
Grp00のSSの内容
・ユーザーまたはグループに関するフィルタリングオプション
 送信元「Grp00」
 宛先「空欄」
・Macヘッダに関するフィルタリングオプション
 すべての送信元~ にチェック
 すべての宛先~ にチェック
・IPヘッダに関するフィルタリングオプション
 すべての送信元~ にチェック
 すべての宛先~ にチェック
・プロトコルの種類
 すべてのIPv4/IPv6
・TCPヘッダまたはUDPヘッダに関するフィルタリングオプション
 設定なし

Grp03 out
・ユーザーまたはグループに関するフィルタリングオプション
 送信元「Grp03」
 宛先「空欄」
・Macヘッダに関するフィルタリングオプション
 すべての送信元~ にチェック
 すべての宛先~ にチェック
・IPヘッダに関するフィルタリングオプション
 すべての送信元~ にチェック
 すべての宛先~ にチェックOFF
  IPv4アドレス 192.168.1.111/32
・プロトコルの種類
 すべてのIPv4/IPv6
・TCPヘッダまたはUDPヘッダに関するフィルタリングオプション
 設定なし

Grp03 in
・ユーザーまたはグループに関するフィルタリングオプション
 送信元「空欄」
 宛先「Grp03」
・Macヘッダに関するフィルタリングオプション
 すべての送信元~ にチェック
 すべての宛先~ にチェック
・IPヘッダに関するフィルタリングオプション
 すべての送信元~ にチェックOFF
  IPv4アドレス 192.168.1.111/32
 すべての宛先~ にチェック
・プロトコルの種類
 すべてのIPv4/IPv6
・TCPヘッダまたはUDPヘッダに関するフィルタリングオプション
 設定なし

cedar
Site Admin
Posts: 1397
Joined: Sat Mar 09, 2013 5:37 am

Re: 仮想HubのACLの書き方について

Post by cedar » Fri Apr 17, 2020 10:34 am

> ユーザーもしくはグループを指定したフィルタを作成する場合は、行きだけの許可だけではなく
> 必ず戻りの許可も必要ということでしょうか。

ユーザーやグループを条件とするもの以外も、一方通行の通信以外は帰りの経路も許可する必要があります。

例えば DNS サービスの場合は、DNS サーバーの 53 番ポートへの通信だけでなく、
DNS サーバーの 53 番ポートからのパケットも明示的に許可する必要があります。

vita
Posts: 6
Joined: Wed Apr 15, 2020 12:19 pm

Re: 仮想HubのACLの書き方について

Post by vita » Fri Apr 17, 2020 1:01 pm

ありがとうございます
戻りも書く必要があるのですね。
FWのようにステートフルパケットインスペクション機能があるものだと思い込んでおりました。

Post Reply