Re: 問題ID: 24869 について質問です

この質問の投稿一覧へ

なし Re: 問題ID: 24869 について質問です

msg# 1.2
depth:
1
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2018-6-4 9:27
arashi1977  長老 居住地: 広島  投稿数: 1715
引用:
こちらのACLの適用方向、アウトバウンドが正解となっていますが、インバウンドでも問題ないと思うのですが、何故インバウンドが駄目なのか解説して頂きたく。
解説が「インターネットへの制限だからアウトバウンド」という論調で、インバウンドでは要件を満たせない理由になっていないと思うのですが。
「なぜインバウンドでも問題ないか」の説明をしていただけるといいんですけどねぇ…
まず設問の条件
引用:
・内部ネットワークからインターネットへのSSH接続を拒否する
「内部ネットワークからインターネット(外部)」への「SSH接続」を「拒否」するんですよね?
じゃあここだけをアクセスリストでどう表現できるかざっくり考えるとこれが思い浮かぶんですが、ここは大丈夫ですか?(CCNPレベルなので大丈夫なはず…)
access-list 100 deny tcp {内部ネットワークアドレス} {内部ネットワークにマッチするワイルドカード} any eq 22
access-list 100 permit ip any any
・送信元が内部ネットワーク、宛先はどこでもマッチ(インターネットとしか言われていないので特定できない)
・SSHと言われているので22/tcpを拒否
・その他は許可

じゃあこれがインバウンドかアウトバウンドか、ということですが
アウトバウンド:ACLを「出ていく」トラフィックに適用
インバウンド:ACLを「入ってくる」トラフィックに適用
ってのは大丈夫ですか?(ROUTEの問題なのでそこは大丈夫と信じたい…)

で、mamorukunさんも指摘されていますが
引用:
ルータの インターネットに接続するインターフェース に、以下の要件を満たすアクセスリストを適用したい。
インターネットに接続するインターフェースがACLの適用先であって、内部ネットワークに接続するインターフェースではないので、上記ACLの「送信元(内部ネットワークアドレス)」が送信元となれるのは出ていくトラフィックの場合です。
インバウンド(入ってくる)トラフィックの場合、内部ネットワークは宛先となるわけですので、上記ACLは送信元と宛先が逆ということになってしまいます。

という感じで「解説して頂きたく」にマッチしてるでしょうか?

投稿ツリー

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.