- 締切済み
アクセスリストについて(ftp通信)
初めて質問させて頂きます。 今、FTPの通信で困っています。以下の内容の要件でアクセスリストを作成してFTPのGETの通信を行おうとしているのですが現状、要件通り に行かなくて困っています。 以下に、構成と作成したアクセスリストを提示しました。 どなたかわかる方がいらっしゃいましたらご指導お願いします。 できれば具体的にどこがいけないのかを教えて頂きたいです。 構成 送信元 送信先 要件 10.90.11.20 172.15.160.4 FTPのGET 10.90.11.21 172.15.160.4 FTPのGET 10.90.11.22 172.15.160.4 FTPのGET 10.80.11.22 172.15.160.4 FTPのGET 【アクセスリスト】 interface vlan TEST ip access-group FTP_TUUSIN_IN in ip access-group FTP_TUUSIN_OUT out ip access-list extended FTP_TUUSIN_OUT permit icmp any any permit tcp host 10.90.11.22 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.90.11.21 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.90.11.20 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.80.11.22 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.90.11.22 eq ftp-data host 172.15.160.4 permit tcp host 10.90.11.21 eq ftp-data host 172.15.160.4 permit tcp host 10.90.11.20 eq ftp-data host 172.15.160.4 permit tcp host 10.80.11.22 eq ftp-data host 172.15.160.4 permit tcp host 10.90.11.22 eq ftp host 172.15.160.4 permit tcp host 10.90.11.21 eq ftp host 172.15.160.4 permit tcp host 10.90.11.20 eq ftp host 172.15.160.4 permit tcp host 10.80.11.22 eq ftp host 172.15.160.4 permit udp any host 224.0.0.2 eq 1985 deny ip any any log ip access-list extended FTP_TUUSIN_IN permit icmp any any permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 gt 1023 established permit tcp host 172.15.160.4 eq ftp host 10.90.11.21 gt 1023 established permit tcp host 172.15.160.4 eq ftp host 10.90.11.20 gt 1023 established permit tcp host 172.15.160.4 eq ftp host 10.80.11.22 gt 1023 established permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.22 permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.21 permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.20 permit tcp host 172.15.160.4 eq ftp-data host 10.80.11.22 permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 permit tcp host 172.15.160.4 eq ftp host 10.90.11.21 permit tcp host 172.15.160.4 eq ftp host 10.90.11.20 permit tcp host 172.15.160.4 eq ftp host 10.80.11.21 permit udp any host 224.0.0.2 eq 1985 deny ip any any log
- ojisama042
- お礼率42% (3/7)
- ネットワーク
- 回答数3
- ありがとう数2
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- invalid
- ベストアンサー率61% (67/109)
> ということは、以下の内容を消せばいいってことですね。 > permit tcp host 10.80.11.22 eq ftp-data host 172.15.160.4 残念ながら違います。 FTPサーバ(172.15.160.4)側のftp/ftp-dataを許可する必要があります。 質問された条件に合わせて具体的に書くと以下のような内容になります。 特にOUT方向のリストが変わっていますのでご確認ください。 ------------------------------------------------------------------- ip access-list extended FTP_TUUSIN_OUT permit icmp any any permit tcp host 10.90.11.22 host 172.15.160.4 eq ftp-data established permit tcp host 10.90.11.21 host 172.15.160.4 eq ftp-data established permit tcp host 10.90.11.20 host 172.15.160.4 eq ftp-data established permit tcp host 10.80.11.22 host 172.15.160.4 eq ftp-data established permit tcp host 10.90.11.22 host 172.15.160.4 eq ftp permit tcp host 10.90.11.21 host 172.15.160.4 eq ftp permit tcp host 10.90.11.20 host 172.15.160.4 eq ftp permit tcp host 10.80.11.22 host 172.15.160.4 eq ftp permit udp any host 224.0.0.2 eq 1985 deny ip any any log ip access-list extended FTP_TUUSIN_IN permit icmp any any permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 established permit tcp host 172.15.160.4 eq ftp host 10.90.11.21 established permit tcp host 172.15.160.4 eq ftp host 10.90.11.20 established permit tcp host 172.15.160.4 eq ftp host 10.80.11.22 established permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.22 permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.21 permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.20 permit tcp host 172.15.160.4 eq ftp-data host 10.80.11.22 permit udp any host 224.0.0.2 eq 1985 deny ip any any log -------------------------------------------------------------------
- invalid
- ベストアンサー率61% (67/109)
クラインアント4台分書くと大変なので10.90.11.22の1台として書きます。 FTPには2つモード(ポート/パッシブ)がありますので どちらで実行されているのかわかりませんが、 ■ポートモードであれば 10.90.11.22 → 172.15.160.4:21 10.90.11.22 ← 172.15.160.4:20 という接続方向(矢印の向き)になるので、設定するフィルタは以下のようになると思います。 <アウトバウンド用フィルタ> FTP_TUUSIN_OUT permit tcp host 10.90.11.22 host 172.15.160.4 eq ftp permit tcp host 10.90.11.22 host 172.15.160.4 eq ftp-data established <インバウンド用フィルタ> FTP_TUUSIN_IN permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 established permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.22 ■パッシブモードであれば 10.90.11.22 → 172.15.160.4:21 10.90.11.22 → 172.15.160.4:>1023 という接続方向(矢印の向き)になるので、設定するフィルタは以下のようになると思います。 <アウトバウンド用フィルタ> FTP_TUUSIN_OUT permit tcp host 10.90.11.22 host 172.15.160.4 eq ftp permit tcp host 10.90.11.22 host 172.15.160.4 gt 1023 <インバウンド用フィルタ> FTP_TUUSIN_IN permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 established permit tcp host 172.15.160.4 gt 1023 host 10.90.11.22 established ※どちらもクラインアント側のポート指定していません 実機を使っていないのでチョット自信がないですが^^; おそらく合っていると思います。
- invalid
- ベストアンサー率61% (67/109)
(1)送信元と送信先のどちらがFTPサーバなのでしょうか? サーバが172.15.160.4で クライアントが10.90.11.20~10.80.11.22なのでしょうか (2)INとOUTの関係が判りません。 内容から勝手に判断すると 内部NWが10.x.x.x 外部NWが172.x.x.x でよいですか? FTPには2つモード(ポート/パッシブ)があり データセッションの張り方が変わりますので 参考URLを一度ご確認ください。 ※GET/PUTはこの場合は関係しません。
お礼
ということは、以下の内容を消せばいいってことですね。 permit tcp host 10.80.11.22 eq ftp-data host 172.15.160.4 一度その状態で作成し、試してみます。 またわからなければ新規でご質問させて頂きます。 本当にありがとうございます。
補足
invalidさん お返事ありがとうございます。 (1)送信元と送信先のどちらがFTPサーバなのでしょうか? サーバが172.15.160.4で クライアントが10.90.11.20~10.80.11.22なのでしょうか ⇒その通りです。 (2)INとOUTの関係が判りません。 内容から勝手に判断すると 内部NWが10.x.x.x 外部NWが172.x.x.x でよいですか? ⇒ こちらもその通りです。 参考URLを参照しましたが、この場合、ポート21番がどうやら変という事はわかったのですが、具体的にどこが違うのかわかりません。