ホーム > 製品情報 > ネットワーク周辺機器 > 設定例 > Luaスクリプト機能 > SWX2200 Luaスクリプト連携 > 不正ホスト接続禁止

不正ホスト接続禁止

登録済みのホストに対してはIPアドレスを付与してインターネットアクセスを許可し、不正なホストからのアクセスを遮断する設定例です。

本設定例のLuaスクリプトでは、MACアドレスフィルタ機能によって出力されるログを監視しています。
検出したログに記録されたMACアドレスがCSVファイルに記載されている場合のみ、DHCPでIPアドレスを付与します。
CSVファイルにMACアドレスが記載されていない場合には、当該ホストが接続されているSWX2200のポートを遮断します。

CSVファイルにはアクセスを許可するホストのホスト名とMACアドレスを記述します。下記のように1行に1つのホストを記入していきます。
また、CVSファイルはLuaスクリプトの設定値filenameに指定します。

CSVファイル記述例
- (ホスト名1),(MACアドレス1)
- (ホスト名2),(MACアドレス2)

設定例はこちら

Luaスクリプト例はこちら

CSVファイルはこちら

RTX1200の設定例

下記の設定部分のみを取り出すことができます。

イーサネットフィルタの設定	ethernet filter 1 pass-nolog ::::: 01:a0:de:00:e8:13 0 e8,12 ethernet filter 2 pass-nolog dhcp-bind 1 ethernet lan1 filter in 1 2
LANのインタフェースの設定（LAN1ポートを使用）	ip lan1 address 192.168.100.1/24
WANのインタフェースの設定（LAN2ポートを使用）	pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname (ISPに接続するID) (ISPに接続するパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 ip route default gateway pp 1
NATの設定	nat descriptor type 1 masquerade
DHCPの設定	dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope lease type 1 bind-only dhcp scope 1 192.168.100.2-192.168.100.191/24
DNSの設定	dns server (ISPより指定されたDNSサーバのIPアドレス) dns private address spoof on
SWX2200の設定	switch control use lan1 on
SYSLOGの設定	syslog notice on
フィルタの設定	ip filter source-route on ip filter directed-broadcast on ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.100.0/24 * ip filter 1030 pass * 192.168.100.0/24 icmp ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * netmeeting ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp pp select 1 ip pp secure filter in 1020 1030 2000 ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107 pp enable 1
Luaスクリプトのスケジュール設定	schedule at 1 startup * lua /swx2200_lua_pc_check_rtx1200.lua

Luaスクリプト例

下記のLuaスクリプトを取り出すことができます。

設定値	-- 接続を許可するPCリストのファイル名(絶対パスで指定) filename = "/pc_list.csv" -- 出力する SYSLOG のレベル (info, debug, notice) log_level = "info" -- 検出したい SYSLOG の文字列パターン ptn = "Rejected at IN%(default%) filter" -- MACアドレス検出の文字列パターン mac_ptn = "%x%x:%x%x:%x%x:%x%x:%x%x:%x%x"
ホスト検索	function search_host(mac) 　　local sw_route, route, port 　　rtn, str = rt.command("show status switching-hub macaddress " .. mac) 　　port = string.match(str, "port (%d):") 　　if (port) then 　　　　route = "LAN1:" .. port 　　else 　　　　rtn, str = rt.command("show arp lan2") 　　　　if (string.match(str, mac)) then 　　　　　　route = "LAN2" 　　　　else 　　　　　　rtn, str = rt.command("show arp lan3") 　　　　　　if (string.match(str, mac)) then 　　　　　　　　route = "LAN3" 　　　　　　end 　　　　end 　　end 　　if (not route) then 　　　　return 　　end 　　while true do 　　　　rtn, str = rt.command("switch control function get status-macaddress-addr " .. 　　　　　　　　　　　　　　　　　　　mac .." " .. route) 　　　　if (rtn) and (str ~= "0 entry\r\n") then 　　　　　　port = string.match(str, "(%d+)") 　　　　　　sw_route = route 　　　　　　route = route .."-" ..port 　　　　else 　　　　　　break 　　　　end 　　end 　　return sw_route, port end
不正PC接続ポートのシャットダウン	function port_shutdown(mac) 　　sw_route, port = search_host(mac) 　　if (sw_route) and (port) then 　　　　rt.command("switch select " .. sw_route) 　　　　rtn, str = rt.command("switch control function set port-use " .. port .." off") 　　　　if (rtn) then 　　　　　　rtn, str = rt.command("switch control function get system-name " .. sw_route) 　　　　　　name = string.match(str, "(.-)\r\n") 　　　　　　if (name) then 　　　　　　　　rt.syslog(log_level, "port shutdown ".. name .." : port " .. port) 　　　　　　else 　　　　　　　　rt.syslog(log_level, "port shutdown ".. sw_route .." : port " .. port) 　　　　　　end 　　　　else 　　　　　　rt.syslog(log_level, "port shutdown error (".. str ..")") 　　　　end 　　end end
メインルーチン	local bind = {} -- 正規PCの登録 local fh, estr, ecode fh, estr, ecode = io.open(filename, "r") if (not fh) then 　　rt.syslog(log_level, "file open error (".. estr ..")") else 　　for line in fh:lines() do 　　　　mac = string.match(line, mac_ptn) 　　　　if (mac) then 　　　　　　rt.command("dhcp scope bind 1 * ethernet " .. mac) 　　　　　　table.insert(bind, mac) 　　　　end 　　end 　　io.close(fh) end -- 接続PCの監視 local rtn, str, bmac, hit while (true) do 　　rtn, str = rt.syslogwatch(ptn) 　　mac = string.match(str[1], mac_ptn) 　　if (mac) then 　　　　for i, bmac in ipairs(bind) do 　　　　　　hit = string.match(mac, bmac) 　　　　　　if (hit) then 　　　　　　　　break 　　　　　　end 　　　　end 　　　　if (not hit) then 　　　　　　port_shutdown(mac) 　　　　else 　　　　　　rt.syslog(log_level, "bind table match ".. mac) 　　　　end 　　end end

不正ホスト接続禁止

RTX1200の設定例

Luaスクリプト例

製品カテゴリー

インフォメーション

サポート

ダウンロード