PIX で access-list (ファイアウォールルール) を追加する

PIX で access-list (ファイアウォールルール)を追加する

バージョン 6.3

PIX でファイアウォールルールである access-list を追加する方法は次の通り。

今回は既存の access-list に次のルールを追加する。

○追加するルール

　送信元 ANY から Web サーバ(1.1.1.100) に対する HTTPS のアクセスを許可

投入するコマンドは次のようになる。
access-list outside permit udp any host 1.1.1.100 eq https log
ただし、このコマンドを実行しても既存の access-list の最下行に追加されるだけ。

access-list は上から順に走査されるためルールの順番が重要になる。

任意の順番にルールを追加する方法は次の通り。

まず追加する前の access-list を確認するのだが、
show running-config では情報が足りない。
具体的には、行番号が分からない。

そこで、次のコマンドで access-list だけを確認する。
# show access-list
access-list outside; 3 elements
access-list outside line 1 permit icmp any any log 6 interval 300 (hitcnt=83753199)
access-list outside line 2 permit tcp any host 1.1.1.100 eq http log 6 interval 300 (hitcnt=34389)
access-list outside line 3 deny ip any any log 6 interval 300 (hitcnt=345601)
この場合、最下行にルールが追加されてしまっては全く意味が無い。

今回は 2 行目と 3 行目の間にルールを追加する。

その場合のコマンドは次の通り。
access-list outside line 3 permit udp any host 1.1.1.100 eq https log
このコマンドで、既存の3行目のルールは4行目となり、
3行目に新しいルールが追加される。

コマンド投入後、再度 access-list を確認すると、このようになっている。
# show access-list
access-list outside; 4 elements
access-list outside line 1 permit icmp any any log 6 interval 300 (hitcnt=83753199)
access-list outside line 2 permit tcp any host 1.1.1.100 eq http log 6 interval 300 (hitcnt=34389)
access-list outside line 3 permit udp any host 1.1.1.100 eq https log 6 interval 300 (hitcnt=0)
access-list outside line 4 deny ip any any log 6 interval 300 (hitcnt=345601)
ちなみに、今回の例で複数のルールを 2 行目と 3 行目の間に追加したい場合は、
次のように、追加するルールの目的とする順番の逆順から、
行番号を全て同じにして入力する。
access-list outside line 3 permit udp 4.4.4.0 255.255.255.0 host 1.1.1.100 eq https log
access-list outside line 3 permit udp 3.3.3.0 255.255.255.0 host 1.1.1.100 eq https log
access-list outside line 3 permit udp 2.2.2.0 255.255.255.0 host 1.1.1.100 eq https log
コマンド投入後、再度 access-list を確認すると、このようになる。
# show access-list
access-list outside; 6 elements
access-list outside line 1 permit icmp any any log 6 interval 300 (hitcnt=83753199)
access-list outside line 2 permit tcp any host 1.1.1.100 eq http log 6 interval 300 (hitcnt=34389)
access-list outside line 3 permit udp 2.2.2.0 255.255.255.0 host 1.1.1.100 eq https log 6 interval 300 (hitcnt=0)
access-list outside line 4 permit udp 3.3.3.0 255.255.255.0 host 1.1.1.100 eq https log 6 interval 300 (hitcnt=0)
access-list outside line 5 permit udp 4.4.4.0 255.255.255.0 host 1.1.1.100 eq https log 6 interval 300 (hitcnt=0)
access-list outside line 6 deny ip any any log 6 interval 300 (hitcnt=345601)