問題ID:3341 Fa1のACLについて
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
ksaito25
投稿数: 14
投稿数: 14
問題ID:3341 の FastEthernet 1 に設定されている以下のACLですが、どういう理由で設定されているかわかりますでしょうか?
interface FastEthernet 1
ip access-group 105 in
access-list 105 deny ip host 255.255.255.255 any
access-list 105 deny ip 127.0.0.0 0.255.255.255 any
interface FastEthernet 1
ip access-group 105 in
access-list 105 deny ip host 255.255.255.255 any
access-list 105 deny ip 127.0.0.0 0.255.255.255 any
pasta0245
投稿数: 7
投稿数: 7
この設定はIPスプーフィング対策の一つですね。
ブロードキャストやループバック、プライベートアドレスなど、
外部(インターネット側)から入ってくるはずのないアドレスを拒否することでIPスプーフィングを防げます。
ブロードキャストやループバック、プライベートアドレスなど、
外部(インターネット側)から入ってくるはずのないアドレスを拒否することでIPスプーフィングを防げます。
ksaito25
投稿数: 14
投稿数: 14
回答ありがとうございます。
IPスプーフィング対策なら、Fa0(外部向けIF)にinで設定すべきかと思ったんですが、
内部NW向けにinで設定してもスプーフィング対策になるのでしょうか?
IPスプーフィング対策なら、Fa0(外部向けIF)にinで設定すべきかと思ったんですが、
内部NW向けにinで設定してもスプーフィング対策になるのでしょうか?
pasta0245
投稿数: 7
投稿数: 7
すみません。
外部NW側インターフェースのin設定かと早とちりして返信してしまいました。
なお、内部NW向けin設定については
問題ID:3341の参考URLの2つ目
Cisco「Cisco IOS Firewall ポリシー設定」に以下の記載がありました。
======================引用======================
基本ファイアウォール設定は、すべてのCisco IOSファイアウォールに共通しています。このIOSファイアウォー
ルはブロードキャスト トラフィックやローカルループバックトラフィックを禁止し、また外部/内部インターフェイスの
双方で成りすましパケットを禁止することにより支店を守るよう構成されます。
==============================================
外部NW側インターフェースのin設定かと早とちりして返信してしまいました。
なお、内部NW向けin設定については
問題ID:3341の参考URLの2つ目
Cisco「Cisco IOS Firewall ポリシー設定」に以下の記載がありました。
======================引用======================
基本ファイアウォール設定は、すべてのCisco IOSファイアウォールに共通しています。このIOSファイアウォー
ルはブロードキャスト トラフィックやローカルループバックトラフィックを禁止し、また外部/内部インターフェイスの
双方で成りすましパケットを禁止することにより支店を守るよう構成されます。
==============================================
ksaito25
投稿数: 14
投稿数: 14
ご指摘どおり、リンク先のシスコドキュメントにすべて書いてありました。
pdfの14ページ、
「インターネットからのアクセスに対する支店ネットワークからの戻りトラフィックポリシーが表示されます」
ご教授感謝します。
pdfの14ページ、
「インターネットからのアクセスに対する支店ネットワークからの戻りトラフィックポリシーが表示されます」
ご教授感謝します。
ksaito25
投稿数: 14
投稿数: 14
ご指摘どおり、リンク先のシスコドキュメントにすべて書いてありました。
pdfの14ページ、
「インターネットからのアクセスに対する支店ネットワークからの戻りトラフィックポリシーが表示されます」
ご教授感謝します。
pdfの14ページ、
「インターネットからのアクセスに対する支店ネットワークからの戻りトラフィックポリシーが表示されます」
ご教授感謝します。
