NEC IXでURLフィルタを利用する

Page content

NEC IXルータを用いると、安価にURLフィルタを利用できる。例えば、WindowsUpdateしか許可しないルータ等を作成することができる。

顧客に納入するPCをWindowsUpdateするときなど、極力インターネットに接続したくないが、インターネットにつないだ方が話が早い時などに大活躍。

コンフィグ例

本構成例は、IXシリーズ 機能説明書に記載されている。なお、実際にはNAPTの設定や、各種パケットフィルタの設定が必要。

ちなみに、各種サービスで利用するFQDNは、下記ページが詳しい。

URLオフロードを利用する

URLフィルタ部分を抜粋したコンフィグ例は、下記のようになる。

!すべて不許可
url-list all-deny deny domain any
url-list all-deny deny ip any

!WindowsUpdateは許可
url-list allowwinup permit domain update.microsoft.com
url-list allowwinup permit domain *.update.microsoft.com
url-list allowwinup permit domain download.windowsupdate.com
url-list allowwinup permit domain *.download.windowsupdate.com
url-list allowwinup permit domain *.download.microsoft.com
url-list allowwinup permit domain windowsupdate.com
url-list allowwinup permit domain *.windowsupdate.com
url-list allowwinup permit domain ntservicepack.microsoft.com
url-list allowwinup permit domain login.live.com
url-list allowwinup permit domain mp.microsoft.com
url-list allowwinup permit domain *.mp.microsoft.com
url-list allowwinup permit domain *.do.dsp.mp.microsoft.com
url-list allowwinup permit domain *.dl.delivery.mp.microsoft.com
url-list allowwinup permit domain *.emdl.ws.microsoft.com
!
!フィルタを掛ける
interface GigaEthernet0.0
url-filter allowwinup 1 out
url-filter all-deny 9999 out
no shutdown

フィルタのかけ方

  • フィルタは、対象のインターフェースのOUT側に掛ける.
  • url-filter <フィルタ名> 優先順位 <方向>
  • 最後にすべてdenyするフィルタを掛ける?(多分)
    • もしかしたら暗黙のdenyがあるかもしれない。