最近、自分のところが攻撃されてるんじゃないかという疑念が頭を埋め尽くしている。というのも、なんか、やたらとWSの調子が悪いのだ。Cisco の設定をいじってパケットをフィルタすることにした。IOSの使い方なんか全然わからなかったわけだが、
– enable で特権モードにいく
– configure terminal で設定モードにいく
– access-list ほげほげ、で、アクセスリストを書く (アクセスリストを消すのは no access-list ほげほげ で、消したい奴の番号を指定すればよい)
– interface ほげほげ で、アクセスリストを適用する interface を指定
– ip access-group ほげほげ out とかする
といった感じだ。注意すべきなのは、自分のサブネットに入ってくるパケットをフィルタするから、ip access-group 101 in とかして、入力パケットを弾こうとすると、実は自分のサブネットからルータに入ってくるパケットがブロックされてしまうのだ。ルータから自分のサブネットに出てゆくパケットを制限するので、ip access-group ほげほげ out とするのが正しい。interface に割り当てたアクセスリストを解除するのは no ip access-group ほげほげ だ。