ACLについて
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
ACLについて
msg# 1
redbox
投稿数: 15
ACLについて少し分からない部分が有り質問させてください。
クライアント側はNAT環境下でWAN側はISPとつながっている一般的なブロードバンドルーターとしてCISCOのルーターを利用する際に、WAN側のIN方向にACLを適用しセキュリティを高めると思いますが、何も設定しない状態ですと暗黙のDENYがあるためLANからアクセスした戻りのパケットが全てはじかれてしまい、結果としてインターネットにアクセスができない状態になるとおもいます。
そこで一般的には、WAN側のIN方向に拒否したいポートを記述していき、最後にpermit ip any anyで全許可にし戻りのパケットを許可する方法がとられますが、たとえば WAN側のIN方向にaccess-list 100 permit tcp any any established と1行だけ記述すればTCP通信に限りますがNAT環境からは普通にインターネットにアクセスでき、且つWAN側は明示的にポートをブロックする記述をしなくても暗黙のDENYによって全拒否されるといった解釈はあっていますでしょうか。
宜しくお願いします。
クライアント側はNAT環境下でWAN側はISPとつながっている一般的なブロードバンドルーターとしてCISCOのルーターを利用する際に、WAN側のIN方向にACLを適用しセキュリティを高めると思いますが、何も設定しない状態ですと暗黙のDENYがあるためLANからアクセスした戻りのパケットが全てはじかれてしまい、結果としてインターネットにアクセスができない状態になるとおもいます。
そこで一般的には、WAN側のIN方向に拒否したいポートを記述していき、最後にpermit ip any anyで全許可にし戻りのパケットを許可する方法がとられますが、たとえば WAN側のIN方向にaccess-list 100 permit tcp any any established と1行だけ記述すればTCP通信に限りますがNAT環境からは普通にインターネットにアクセスでき、且つWAN側は明示的にポートをブロックする記述をしなくても暗黙のDENYによって全拒否されるといった解釈はあっていますでしょうか。
宜しくお願いします。
Re: ACLについて
msg# 1.1
gel877
投稿数: 37
まだまだ勉強中の身なのであまり自信ありませんが、
>WAN側のIN方向にaccess-list 100 permit tcp any any established と1行だけ記述すればTCP通信に限りますがNAT環境からは普通にインターネットにアクセスでき、且つWAN側は明示的にポートをブロックする記述をしなくても暗黙のDENYによって全拒否されるといった解釈はあっていますでしょうか。
establishedオプションの動きとしてはその解釈で合っているかと思います。
ただ、
>そこで一般的には、WAN側のIN方向に拒否したいポートを記述していき、最後にpermit ip any anyで全許可にし戻りのパケットを許可する方法がとられますが
こちらは違うかと思います。
拒否したいポートを記述していくのではなく、許可したいポートを記述していくのが一般的なのではないでしょうか。
最後に全許可するより、許可するのは必要な通信のみにした方が安全かと思いますし、そのための暗黙のdenyかと。。。
>WAN側のIN方向にaccess-list 100 permit tcp any any established と1行だけ記述すればTCP通信に限りますがNAT環境からは普通にインターネットにアクセスでき、且つWAN側は明示的にポートをブロックする記述をしなくても暗黙のDENYによって全拒否されるといった解釈はあっていますでしょうか。
establishedオプションの動きとしてはその解釈で合っているかと思います。
ただ、
>そこで一般的には、WAN側のIN方向に拒否したいポートを記述していき、最後にpermit ip any anyで全許可にし戻りのパケットを許可する方法がとられますが
こちらは違うかと思います。
拒否したいポートを記述していくのではなく、許可したいポートを記述していくのが一般的なのではないでしょうか。
最後に全許可するより、許可するのは必要な通信のみにした方が安全かと思いますし、そのための暗黙のdenyかと。。。
Re: ACLについて
msg#
redbox
投稿数: 15
ありがとうございます!
wanのinは基本許可するものだけ記述するのであればip any anyはいりませんよね。
ciscoのページとかをみると拒否したいポートを記述後全許可にするというサンプルがあったため混乱してました。
wanのinは基本許可するものだけ記述するのであればip any anyはいりませんよね。
ciscoのページとかをみると拒否したいポートを記述後全許可にするというサンプルがあったため混乱してました。