2019-09-24 03:35 PM
お世話になっております。
C891FJルータに設定するアクセスリストに関する質問です。
Config(抜粋)
---------------------------------------------------------
interface Vlan10
ip address 192.168.100.10 255.255.255.0
ip access-group TO_INTERNET in (★)
ip nat inside
ip virtual-reassembly in
standby 100 ip 192.168.100.1
standby 100 preempt delay minimum 60 reload 60
ip tcp adjust-mss 1414
interface Dialer1
ip address negotiated
ip access-group FROM_INTERNET in
ip mtu 1454
ip nat outside
ip inspect CBAC out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp chap refuse
ppp pap sent-username c085342388@ngnfbipst.dion.ne.jp password 7 *****
ppp ipcp dns request accept
ppp ipcp route default
---------------------------------------------------------
補足
Vlan10は社内LANのVLANです。
Dialer1の先はインターネット網です。
社内LANからインターネット網に向かう際、Vlan10のIN側にアクセスリスト「TO_INTERNET」(★)を適用し
WindowsUpdateやTrendMicroUpdate(TMCMがパターンファイルを取得etc)の通信のみを許可したかったのですが、
拡張アクセスリストではURLが指定出来ません。
これはもう宛先ポート制御するしかないのでしょうか?
仮にポート制御しか方法がない場合、宛先ポートが80 or 443のみを許可する設定で良いのでしょうか?
※WindowsやTrendMicroはハイポートを宛先ポートとするような仕様ではないですよね?
-------------------------------------------------------------------------------------------------
[参考]
~WindowsUpdate~
https://support.microsoft.com/ja-jp/help/888764
~TrendMicroUpdate~
http://esupport.trendmicro.com/solution/ja-jp/1311886.aspx (Trend Micro Control Manager 6.0)
http://esupport.trendmicro.com/solution/ja-jp/1119632.aspx (Trend Micro Control Manager 7.0)
-------------------------------------------------------------------------------------------------
可能であれば、URL(数が多いのでワイルドカードで)で制御したいのですが、
そういった制御をする設定はあるのでしょうか?
もしご存じの方がいれば、是非ともご教示いただけませんでしょうか?
以上、宜しくお願い致します。
解決済! 解決策の投稿を見る。
2019-10-04 05:04 PM
確実な情報が必要のようでしたら、Trend Micro へ確認する必要があると思います。以下の Trend Micro の情報を確認する限りでは、パターンファイルなどは 80/443 のようですね。
<Trend Micro Control Managerで利用するポート番号>
https://success.trendmicro.com/jp/solution/1096250
2019-10-04 02:38 PM
こんにちは。
設定したことはないですが、一応 URL フィルタリングできそうな機能はあるようです。"ip urlfilter exclusive-domain" などで検索してみてると、設定方法を説明しているページがちらほら出てきます。CPU 負荷が高くなり、スループットが低下するなどの情報もありますね。また、https では使えないようです。
なので、宛先ポートでの設定ぐらいしか方法はなさそうです。調べてみた限りですと、80 と 443 のみで良さそうですね。
<Windows Update / Microsoft Update の接続先 URL について>
https://blogs.technet.microsoft.com/jpwsus/2017/02/27/wu-mu-list/
2019-10-04 02:58 PM
お世話になっています。
ご返信ありがとうございます。
参照サイトまでご提示いただきありがとうございます。
確認した所、確かに80/443のみのようですね。
ただ、将来的にポートが変わる可能性もあるので、定期的にMSサイトを参照・問い合わせなどをする運用は必要そうですね。
ちなみに、トレンドマイクロも同様なのでしょうか?
もしご存じであれば、ご教授いただければ幸いです。
2019-10-04 05:04 PM
確実な情報が必要のようでしたら、Trend Micro へ確認する必要があると思います。以下の Trend Micro の情報を確認する限りでは、パターンファイルなどは 80/443 のようですね。
<Trend Micro Control Managerで利用するポート番号>
https://success.trendmicro.com/jp/solution/1096250
2019-10-11 11:04 AM
お世話になります。
ご返信ありがとうございます。
承知しました。
URLフィルタリングは負荷がかかるとの事なので、
80/443のポート制御で対応します。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
下記より関連するコンテンツにアクセスできます