問題ID:3341 Fa1のACLについて

  • フォーラムは新サイトへ移行しました。
  • このフォーラムではゲスト投稿が禁止されています
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 .2 .3 | 投稿日時 2010-3-9 22:23
ksaito25  常連   投稿数: 14
問題ID:3341 の FastEthernet 1 に設定されている以下のACLですが、どういう理由で設定されているかわかりますでしょうか?

interface FastEthernet 1
ip access-group 105 in

access-list 105 deny ip host 255.255.255.255 any
access-list 105 deny ip 127.0.0.0 0.255.255.255 any
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2010-3-10 22:38
pasta0245  半人前   投稿数: 7
この設定はIPスプーフィング対策の一つですね。

ブロードキャストやループバック、プライベートアドレスなど、
外部(インターネット側)から入ってくるはずのないアドレスを拒否することでIPスプーフィングを防げます。
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2010-3-11 12:30
ksaito25  常連   投稿数: 14
回答ありがとうございます。

IPスプーフィング対策なら、Fa0(外部向けIF)にinで設定すべきかと思ったんですが、
内部NW向けにinで設定してもスプーフィング対策になるのでしょうか?
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2010-3-13 5:17
pasta0245  半人前   投稿数: 7
すみません。
外部NW側インターフェースのin設定かと早とちりして返信してしまいました。

なお、内部NW向けin設定については
問題ID:3341の参考URLの2つ目
Cisco「Cisco IOS Firewall ポリシー設定」に以下の記載がありました。
======================引用======================
基本ファイアウォール設定は、すべてのCisco IOSファイアウォールに共通しています。このIOSファイアウォー
ルはブロードキャスト トラフィックやローカルループバックトラフィックを禁止し、また外部/内部インターフェイスの
双方で成りすましパケットを禁止することにより支店を守るよう構成されます。
==============================================
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2010-3-13 16:00
ksaito25  常連   投稿数: 14
ご指摘どおり、リンク先のシスコドキュメントにすべて書いてありました。

pdfの14ページ、
「インターネットからのアクセスに対する支店ネットワークからの戻りトラフィックポリシーが表示されます」

ご教授感謝します。
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2010-3-13 16:00
ksaito25  常連   投稿数: 14
ご指摘どおり、リンク先のシスコドキュメントにすべて書いてありました。

pdfの14ページ、
「インターネットからのアクセスに対する支店ネットワークからの戻りトラフィックポリシーが表示されます」

ご教授感謝します。

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.