CISCOのFirewall。
PIXというか今はASAというか。。。
機能的には、別に普通だと思うのだけど、
微妙にIOS Firewallと違うのも判りにくいと思わせる一因なのかも。
ま、相変わらずマルチキャストルーティング(というか、マルチキャスト環境下のファイアウォール動作)に悩まされてる・・・。
もう、マルチキャストなんて、、、イヤだ!
って言って、投げてしまいたいんだけど(^^;
基本に立ち返れば、PIX/ASAはあくまでNATの為の装置、、、という事。
なんだけど、、、。
例えば、セキュリティレベル。
他のファイアウォールでは、あまり見ない概念だ。
同一のセキュリティレベルの場合はどうすればいい??
単にNATとAccess-Listで分断されたネットワークをつなぐ場合は?
とか。
ま、セキュリティレベルが同じ場合、例えば低いセキュリティレベルから高いセキュリティレベルへのアクセスを許可するなら、1対1NATとACLで・・・とか、普通は考えるけど、PIX/ASAはアクセスさせない!が基本だから。
許可するには
service-policy global_policy global
かぁ。。。
同一のセキュリティレベルを接続する境界にある場合は、考慮されてない!?
のかなぁ。。。
ま、そこまでは普通にPIX/ASAでの不満というか、、、触りにくい部分だと思うのだけど。。。
ASA Ver7.2以降(? 7.0以降か??)ではNATの考え方も変わったようで、NATを記述しない場合は、グローバル側(というか、セキュリティレベルの低い側)へのアクセスは基本的に、外部インターフェースへのNAPT(IPマスカレード)で動作してしまうらしい・・・。
ま、
nat-control
という一行を入れれば、従来通りに動作するんだけど。
問題はマルチキャスト。
コイツがくせ者でさ、PIX/ASAがPIMデバイスとして動作するから、マルチキャストのJOINはPIX/ASAへのアクセスってなっちゃう訳さな。だから、いつも通りにACLでインバウンドインターベースへのACLって感じでの適用は出来ない。
で、結局インターフェースにIGMPでのACLっつー感じで実装する訳なんだけど。
問題は、、、ACLとして標準ACLと拡張ACLは使えるのだけど、結局 アクセス元のIPは判断基準として利用できなくて、 アクセス先=マルチキャスト・グループへの判断だけが判断基準になるっつー部分。
クライアントをA、Bとしてマルチキャスト・グループがX、Yとあったとして、
A→X = OK
B→X = NG
B→Y = OK
A→Y = NG
というアクセス制御を行いたい場合、、、
普通に
accecc-list 100 extended permit ip host A host X
accecc-list 100 extended deny ip host A host Y
accecc-list 100 extended permit ip host B host Y
accecc-list 100 extended deny ip host B host X
と書きたくなるのだけど、
問題は拡張アクセス・リストの記載ではソースIPは無視される仕様だっつー事。
結局、先の例ではDest hostのみが評価の対象になるので、、、
access-list 1 permit ip host X
access-list 1 deny ip host X
と評価されてしまう訳なのね。
そのせいで、PIX/ASAを経由したアクセスをホスト単位で制御するという事は無理!っつー。
やりたければ、igmp joinのパケットを全部精査してはじけって言ってるのか!?
・・・
このあたりの穴をついた格好なんだろな、IP-2000・・・・。
普通、使わないからなーPIM-SMなんて。
コメント