トップ > 助け合いフォーラム > CCNA/CCNP関連 > CCNA全般 (前の質問|次の質問)

ACLについて

フォーラムは新サイトへ移行しました。
このフォーラムではゲスト投稿が禁止されています

ツリー構造順で表示投稿の新しいものから

ACLについて

msg# 1

前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2012-11-30 18:25

redbox

投稿数: 15

ACLについて少し分からない部分が有り質問させてください。

クライアント側はNAT環境下でＷＡＮ側はＩＳＰとつながっている一般的なブロードバンドルーターとしてＣＩＳＣＯのルーターを利用する際に、ＷＡＮ側のＩＮ方向にＡＣＬを適用しセキュリティを高めると思いますが、何も設定しない状態ですと暗黙のＤＥＮＹがあるためＬＡＮからアクセスした戻りのパケットが全てはじかれてしまい、結果としてインターネットにアクセスができない状態になるとおもいます。

そこで一般的には、ＷＡＮ側のＩＮ方向に拒否したいポートを記述していき、最後にpermit ip any anyで全許可にし戻りのパケットを許可する方法がとられますが、たとえば　WAN側のＩＮ方向にaccess-list 100 permit tcp any any established　と１行だけ記述すればＴＣＰ通信に限りますがＮＡＴ環境からは普通にインターネットにアクセスでき、且つＷＡＮ側は明示的にポートをブロックする記述をしなくても暗黙のＤＥＮＹによって全拒否されるといった解釈はあっていますでしょうか。

宜しくお願いします。

Re: ACLについて

msg# 1.1

前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2012-12-3 23:59

gel877

投稿数: 37

まだまだ勉強中の身なのであまり自信ありませんが、

>WAN側のＩＮ方向にaccess-list 100 permit tcp any any established　と１行だけ記述すればＴＣＰ通信に限りますがＮＡＴ環境からは普通にインターネットにアクセスでき、且つＷＡＮ側は明示的にポートをブロックする記述をしなくても暗黙のＤＥＮＹによって全拒否されるといった解釈はあっていますでしょうか。
establishedオプションの動きとしてはその解釈で合っているかと思います。

ただ、
>そこで一般的には、ＷＡＮ側のＩＮ方向に拒否したいポートを記述していき、最後にpermit ip any anyで全許可にし戻りのパケットを許可する方法がとられますが
こちらは違うかと思います。

拒否したいポートを記述していくのではなく、許可したいポートを記述していくのが一般的なのではないでしょうか。
最後に全許可するより、許可するのは必要な通信のみにした方が安全かと思いますし、そのための暗黙のdenyかと。。。

Re: ACLについて

msg#

前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2012-12-4 9:38

redbox

投稿数: 15

ありがとうございます！

wanのinは基本許可するものだけ記述するのであればip any anyはいりませんよね。
ciscoのページとかをみると拒否したいポートを記述後全許可にするというサンプルがあったため混乱してました。

ツリー構造順で表示投稿の新しいものから

>フォーラム検索へ