Re: 問題ID: 24869 について質問です
Re: 問題ID: 24869 について質問です
msg# 1.2
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:「なぜインバウンドでも問題ないか」の説明をしていただけるといいんですけどねぇ…
まず設問の条件
引用:「内部ネットワークからインターネット(外部)」への「SSH接続」を「拒否」するんですよね?
じゃあここだけをアクセスリストでどう表現できるかざっくり考えるとこれが思い浮かぶんですが、ここは大丈夫ですか?(CCNPレベルなので大丈夫なはず…)
・送信元が内部ネットワーク、宛先はどこでもマッチ(インターネットとしか言われていないので特定できない)
・SSHと言われているので22/tcpを拒否
・その他は許可
じゃあこれがインバウンドかアウトバウンドか、ということですが
アウトバウンド:ACLを「出ていく」トラフィックに適用
インバウンド:ACLを「入ってくる」トラフィックに適用
ってのは大丈夫ですか?(ROUTEの問題なのでそこは大丈夫と信じたい…)
で、mamorukunさんも指摘されていますが
引用:インターネットに接続するインターフェースがACLの適用先であって、内部ネットワークに接続するインターフェースではないので、上記ACLの「送信元(内部ネットワークアドレス)」が送信元となれるのは出ていくトラフィックの場合です。
インバウンド(入ってくる)トラフィックの場合、内部ネットワークは宛先となるわけですので、上記ACLは送信元と宛先が逆ということになってしまいます。
という感じで「解説して頂きたく」にマッチしてるでしょうか?
こちらのACLの適用方向、アウトバウンドが正解となっていますが、インバウンドでも問題ないと思うのですが、何故インバウンドが駄目なのか解説して頂きたく。
解説が「インターネットへの制限だからアウトバウンド」という論調で、インバウンドでは要件を満たせない理由になっていないと思うのですが。
まず設問の条件
引用:
・内部ネットワークからインターネットへのSSH接続を拒否する
じゃあここだけをアクセスリストでどう表現できるかざっくり考えるとこれが思い浮かぶんですが、ここは大丈夫ですか?(CCNPレベルなので大丈夫なはず…)
access-list 100 deny tcp {内部ネットワークアドレス} {内部ネットワークにマッチするワイルドカード} any eq 22
access-list 100 permit ip any any
・SSHと言われているので22/tcpを拒否
・その他は許可
じゃあこれがインバウンドかアウトバウンドか、ということですが
アウトバウンド:ACLを「出ていく」トラフィックに適用
インバウンド:ACLを「入ってくる」トラフィックに適用
ってのは大丈夫ですか?(ROUTEの問題なのでそこは大丈夫と信じたい…)
で、mamorukunさんも指摘されていますが
引用:
ルータの インターネットに接続するインターフェース に、以下の要件を満たすアクセスリストを適用したい。
インバウンド(入ってくる)トラフィックの場合、内部ネットワークは宛先となるわけですので、上記ACLは送信元と宛先が逆ということになってしまいます。
という感じで「解説して頂きたく」にマッチしてるでしょうか?
投稿ツリー
-
問題ID: 24869 について質問です
(kwskt2y, 2018-6-3 11:57)
-
Re: 問題ID: 24869 について質問です
(mamorukun, 2018-6-3 16:03)
-
Re: 問題ID: 24869 について質問です
(arashi1977, 2018-6-4 9:27)
-
Re: 問題ID: 24869 について質問です
(kwskt2y, 2018-6-4 21:13)
-
