NEC IXでURLフィルタを利用する
Page content
NEC IXルータを用いると、安価にURLフィルタを利用できる。例えば、WindowsUpdateしか許可しないルータ等を作成することができる。
顧客に納入するPCをWindowsUpdateするときなど、極力インターネットに接続したくないが、インターネットにつないだ方が話が早い時などに大活躍。
コンフィグ例
本構成例は、IXシリーズ 機能説明書に記載されている。なお、実際にはNAPTの設定や、各種パケットフィルタの設定が必要。
ちなみに、各種サービスで利用するFQDNは、下記ページが詳しい。
URLフィルタ部分を抜粋したコンフィグ例は、下記のようになる。
!すべて不許可
url-list all-deny deny domain any
url-list all-deny deny ip any
!WindowsUpdateは許可
url-list allowwinup permit domain update.microsoft.com
url-list allowwinup permit domain *.update.microsoft.com
url-list allowwinup permit domain download.windowsupdate.com
url-list allowwinup permit domain *.download.windowsupdate.com
url-list allowwinup permit domain *.download.microsoft.com
url-list allowwinup permit domain windowsupdate.com
url-list allowwinup permit domain *.windowsupdate.com
url-list allowwinup permit domain ntservicepack.microsoft.com
url-list allowwinup permit domain login.live.com
url-list allowwinup permit domain mp.microsoft.com
url-list allowwinup permit domain *.mp.microsoft.com
url-list allowwinup permit domain *.do.dsp.mp.microsoft.com
url-list allowwinup permit domain *.dl.delivery.mp.microsoft.com
url-list allowwinup permit domain *.emdl.ws.microsoft.com
!
!フィルタを掛ける
interface GigaEthernet0.0
url-filter allowwinup 1 out
url-filter all-deny 9999 out
no shutdown
フィルタのかけ方
- フィルタは、対象のインターフェースのOUT側に掛ける.
url-filter <フィルタ名> 優先順位 <方向>- 最後にすべてdenyするフィルタを掛ける?(多分)
- もしかしたら暗黙のdenyがあるかもしれない。