Re: ACLについて
gel877
投稿数: 37
まだまだ勉強中の身なのであまり自信ありませんが、
>WAN側のIN方向にaccess-list 100 permit tcp any any established と1行だけ記述すればTCP通信に限りますがNAT環境からは普通にインターネットにアクセスでき、且つWAN側は明示的にポートをブロックする記述をしなくても暗黙のDENYによって全拒否されるといった解釈はあっていますでしょうか。
establishedオプションの動きとしてはその解釈で合っているかと思います。
ただ、
>そこで一般的には、WAN側のIN方向に拒否したいポートを記述していき、最後にpermit ip any anyで全許可にし戻りのパケットを許可する方法がとられますが
こちらは違うかと思います。
拒否したいポートを記述していくのではなく、許可したいポートを記述していくのが一般的なのではないでしょうか。
最後に全許可するより、許可するのは必要な通信のみにした方が安全かと思いますし、そのための暗黙のdenyかと。。。
>WAN側のIN方向にaccess-list 100 permit tcp any any established と1行だけ記述すればTCP通信に限りますがNAT環境からは普通にインターネットにアクセスでき、且つWAN側は明示的にポートをブロックする記述をしなくても暗黙のDENYによって全拒否されるといった解釈はあっていますでしょうか。
establishedオプションの動きとしてはその解釈で合っているかと思います。
ただ、
>そこで一般的には、WAN側のIN方向に拒否したいポートを記述していき、最後にpermit ip any anyで全許可にし戻りのパケットを許可する方法がとられますが
こちらは違うかと思います。
拒否したいポートを記述していくのではなく、許可したいポートを記述していくのが一般的なのではないでしょうか。
最後に全許可するより、許可するのは必要な通信のみにした方が安全かと思いますし、そのための暗黙のdenyかと。。。
投稿ツリー
- Re: ACLについて (redbox, 2012-12-4 9:38)
-
ACLについて
(redbox, 2012-11-30 18:25)
- Re: ACLについて (gel877, 2012-12-3 23:59)