リモートアクセス制御
リモートアクセス制御
1. 機能概要
本製品では、ネットワークサービスを実現する以下のアプリケーションに対して、アクセス制限を行う機能を提供します。
-
TELNETサーバー
-
HTTP サーバー/セキュアHTTP サーバー
-
TFTP サーバー
-
SNMP サーバー
2. 用語の定義
特になし
3. 機能詳細
ネットワークサービスに対するアクセス制限として、以下の3つを可能とします。
-
該当サービスをシステムに常駐させるかどうかの制御(起動・停止制御)
-
受付ポート番号の変更
-
サービス起動中のアクセス元IPアドレスの限定
下表にネットワークサービスごとに対応する機能を示します。
-
ネットワークサービスに対するアクセス制御
ネットワークサービス 起動・停止制御 受付ポート番号の変更 アクセス元の限定 TELNET サーバー
○
○
○
HTTP サーバー
×(常に起動)
○
○
セキュアHTTP サーバー
○
○
○
TFTP サーバー
○
○
○
SNMP サーバー
×(常に起動)
×(常に161)
○
-
ネットワークサービスを多重起動させることはできません。
サービス起動中に同一サービスに対して起動制御を行うと、再立ち上げします。このため、接続中のセッションは 切断 されます。 -
ネットワークサービスに対してのアクセス元の限定では、 アクセス元のIPアドレス(*1) と アクセスの許可/拒否(*2) を指定することができます。
(*1)…SNMPサーバーではアクセス先のコミュニティ名もしくはユーザー名も指定可能
(*2)…SNMPサーバーではアクセスの許可条件のみ指定可能。 -
ネットワークサービスの初期設定は下表のようになっています。
ネットワークサービス 起動・停止状態 受付ポート番号 アクセス元の限定 TELNET サーバー
起動
23
全て許可
HTTP サーバー
起動
80
全て許可
セキュアHTTP サーバー
起動
443
TFTP サーバー
停止
69
全て許可
SNMP サーバー
起動
161
全て許可
-
4. 関連コマンド
関連コマンドについて、以下に示します。
詳細は、コマンドリファレンスを参照してください。
ネットワークサービス | 操作項目 | 操作コマンド |
---|---|---|
TELNETサーバー |
起動停止および受付ポート番号変更 |
telnet-server enable (引数でポート番号を指定) |
IPアドレスアクセス制御 |
telnet-server access |
|
設定の表示 |
show telnet-server |
|
HTTPサーバー |
HTTPサーバーの受付ポート番号変更 |
http-server enable (引数でポート番号を指定) |
セキュアHTTPサーバー起動停止および受付ポート番号変更 |
http-server secure enable (引数でポート番号を指定) |
|
IPアドレスアクセス制御 |
http-server access |
|
設定の表示 |
show http-server |
|
TFTPサーバー |
起動停止および受付ポート番号変更 |
tftp-server enable (引数でポート番号を指定) |
IPアドレスアクセス制御 |
tftp-server access |
|
SNMPサーバー |
IPアドレスおよびコミュニティ名、ユーザー名でのアクセス制御 |
snmp-server access |
5. コマンド実行例
5.1. TELNETサーバーに対するアクセス制御
TELNETサーバーに対するアクセス制限を実現します。
TELNETサーバーの受付ポートを1024に変更します。
TELNETサーバーへの接続は192.168.100.1からのクライアントのみ許可します。
telnet-server accessを設定した場合、条件に当てはまらないIPアドレスからのアクセスは拒否します。
Yamaha(config)#telnet-server enable 1024 (1) Yamaha(config)#telnet-server access permit 192.168.100.1 (2) Yamaha(config)#end Yamaha#show telnet-server (3) Service:Enable Port:1024 Access: permit 192.168.100.1
1 | 受付ポートを1024に変更し、TELNETサーバーを再起動する |
2 | 192.168.100.1からのみアクセスを許可する |
3 | 設定状況の確認 |
5.2. HTTPサーバーに対するアクセス制限
HTTPサーバーに対するアクセス制限を実現します。
HTTPサーバーの受付ポートを8000に、セキュアHTTPサーバーの受付ポートを9000に変更します。
HTTPサーバーへの接続は192.168.100.1からのクライアントのみ許可します。
http-server accessを設定した場合、条件に当てはまらないIPアドレスからのアクセスは拒否します。
Yamaha(config)#http-server enable 8000 (1) Yamaha(config)#http-server secure enable 9000 (2) Yamaha(config)#http-server access permit 192.168.100.1 (3) Yamaha(config)#end Yamaha#show http-server (4) HTTP :Enable(8000) HTTPS:Enable(9000) Access: permit 192.168.100.1
1 | 受付ポートを8000に変更し、HTTPサーバーを再起動する |
2 | 受付ポートを9000に変更し、セキュアHTTPサーバーを再起動する |
3 | 192.168.100.1からのみアクセスを許可する |
4 | 設定状況の確認 |
5.3. TFTPサーバーに対するアクセス制限
TFTPサーバーに対するアクセス制限を実現します。
TFTPサーバーの受付ポートを2048に変更します。
TFTPサーバーへの接続は192.168.100.1からのクライアントのみ許可します。
Yamaha(config)#tftp-server enable 2048 (1) Yamaha(config)#tftp-server access permit 192.168.100.1 (2)
1 | 受付ポートを2048に変更し、TFTPサーバーを再起動する |
2 | 192.168.100.1からのみアクセスを許可する |
5.4. SNMPサーバーに対するアクセス制限
SNMPサーバーに対するアクセス制限を実現します。
publicコミュニティへのアクセスを192.168.100.0/24からのクライアントのみに制限します。
加えて、privateコミュニティへのアクセスを192.168.100.1からのクライアントのみに制限します。
Yamaha(config)#snmp-server access permit 192.168.100.0/24 community public (1) Yamaha(config)#snmp-server access permit 192.168.100.1 community private (2)
1 | コミュニティ名publicでは192.168.100.0/24からのみアクセスを許可する |
2 | コミュニティ名privateでは192.168.100.1からのみアクセスを許可する |
SNMPサーバーに対するアクセスを192.168.100.0/24から、かつユーザー名「user1」のクライアントのみに制限します。
Yamaha(config)#snmp-server access permit 192.168.100.0/24 user user1 (1)
1 | 192.168.100.0/24かつユーザー名user1からのみアクセスを許可する |
6. 注意事項
IPv4/IPv6アドレスの設定を変更した場合、アクセス元IPアドレスの限定に関する設定がすべてリセットされます。
IPv4/IPv6アドレスの設定変更の際は十分にご注意ください。