問題ID: 3341について
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
Ganpu
投稿数: 11
投稿数: 11
問題3341について質問ですが、
「FastEthernet 0では、ICMP以外全てのIP通信が拒否される」
が間違っているのは何故なのでしょうか。
アクセスリストには
「access-list 100 deny ip any any log」
が設定されており、ipはすべて拒否と読み取れます。
icmpにはpermitの設定がされておりますので、
どう考えても、「FastEthernet 0では、ICMP以外全てのIP通信が拒否される」というのは間違いではないと思うのですが、
なぜこの選択肢が誤りなのか教えて頂けないでしょうか。
よろしくお願いいたします。
「FastEthernet 0では、ICMP以外全てのIP通信が拒否される」
が間違っているのは何故なのでしょうか。
アクセスリストには
「access-list 100 deny ip any any log」
が設定されており、ipはすべて拒否と読み取れます。
icmpにはpermitの設定がされておりますので、
どう考えても、「FastEthernet 0では、ICMP以外全てのIP通信が拒否される」というのは間違いではないと思うのですが、
なぜこの選択肢が誤りなのか教えて頂けないでしょうか。
よろしくお願いいたします。
ashitaka00
投稿数: 5
投稿数: 5
Ganpuさん こんばんは。
>「access-list 100 deny ip any any log」
という一文だけ見ればその通りですが、
動作としては、ip inspectの働きによって内部から発信したHTTPやtftpなどのICMP以外の通信もFastEthernet 0で拒否されることなく通過することになります。
つまり「FastEthernet 0では、ICMP以外全てのIP通信が拒否される」というのは正しくない(誤りである)と言えます。
>「access-list 100 deny ip any any log」
という一文だけ見ればその通りですが、
動作としては、ip inspectの働きによって内部から発信したHTTPやtftpなどのICMP以外の通信もFastEthernet 0で拒否されることなく通過することになります。
つまり「FastEthernet 0では、ICMP以外全てのIP通信が拒否される」というのは正しくない(誤りである)と言えます。
Ganpu
投稿数: 11
投稿数: 11
ashitaka00さん
ご回答有難うございます。
無知で申し訳ありません;;
インスペクションルールでは、ACLで許可されたものに関連するものは動的に許可されるという認識です。
なので、ここで許可されるのはACLで許可されている
ICMP関連のものだけで、IP通信は拒否となる気がします。
httpやtftpはicmpとは異なるものですし、
手前のicmpのPermitに当てはまらない以上
deny ip any any と暗黙のdenyで
許可されているもの以外は、すべて拒否としか読み取れないです。
本当に申し訳ないのですが、もう少し詳しく教えて頂けないでしょうか。
ご回答有難うございます。
無知で申し訳ありません;;
インスペクションルールでは、ACLで許可されたものに関連するものは動的に許可されるという認識です。
なので、ここで許可されるのはACLで許可されている
ICMP関連のものだけで、IP通信は拒否となる気がします。
httpやtftpはicmpとは異なるものですし、
手前のicmpのPermitに当てはまらない以上
deny ip any any と暗黙のdenyで
許可されているもの以外は、すべて拒否としか読み取れないです。
本当に申し訳ないのですが、もう少し詳しく教えて頂けないでしょうか。
ashitaka00
投稿数: 5
投稿数: 5
Ganpuさん こんばんは。
インスペクションルールは「ip inspect name」で定義します。
3341でいうと「ip inspect name BASIC ftp」から始まる先頭6行が該当します。
インスペクションルールを適用すると、内部から外部へ発信した戻りのトラフィック(インスペクションルールで該当するもの)が一時的に通過できるようになります。
(例え戻りのトラフィックが着信するインターフェースにdeny any anyのみの拡張ACLを設定をしていても通過する!・・・はずです。)
詳しくは参考URLをどうぞ
http://www.infraexpert.com/study/acl9.htm
インスペクションルールは「ip inspect name」で定義します。
3341でいうと「ip inspect name BASIC ftp」から始まる先頭6行が該当します。
インスペクションルールを適用すると、内部から外部へ発信した戻りのトラフィック(インスペクションルールで該当するもの)が一時的に通過できるようになります。
(例え戻りのトラフィックが着信するインターフェースにdeny any anyのみの拡張ACLを設定をしていても通過する!・・・はずです。)
詳しくは参考URLをどうぞ
http://www.infraexpert.com/study/acl9.htm
Ganpu
投稿数: 11
投稿数: 11
ashitaka00さん
有難うございます。
検査ルールによって一時的に通過できるのですね。
今までアクセスリストで許可されたものに対してのみ、
検査ルールが適用されると思っておりましたが、
認識が誤っていましたね;
有難うございました。
有難うございます。
検査ルールによって一時的に通過できるのですね。
今までアクセスリストで許可されたものに対してのみ、
検査ルールが適用されると思っておりましたが、
認識が誤っていましたね;
有難うございました。
