- ベストアンサー
Ciscoのアクセスリストについて
- Ciscoのアクセスリストについて質問させていただきます。具体的な構成や設定について説明し、アクセス制御の動作に関して疑問があります。
- アクセスリストの設定や動作について説明します。特定の送信元や送信先のIPアドレスに基づいてアクセスを制御する方法について疑問があります。
- アクセスリストによる通信制御の動作について質問があります。クライアント同士の通信を制限するためにアクセスリストを設定した場合、どのような動作が期待されるか説明してください。
- holydevil
- お礼率56% (294/516)
- その他(インターネット接続・通信)
- 回答数4
- ありがとう数3
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
「クライアントC(発呼)はクライアントBにアクセスできない」の回答です。 クライアントCで発生したパケットがクライアントBに届きます。 そして、クライアントBはクライアントCへパケット返そうとしますが、アクセスリストの条件により、e1のインターフェースからパケットが出ることが出来なくなるからです。 記述内のアクセスリストを訳すと、e1のインターフェースから出て行くパケットに制限を掛けます。その条件はクライアントAからクライアントCに対して出て行くパケットは通しますとなるので、クライアントBからのパケットはe1で捨てられてしまうからです。
その他の回答 (3)
- musimusi
- ベストアンサー率100% (1/1)
昔、1つのインターフェースにIN/OUT2つのアクセスリストをつけることは不可能と聞いたことあったのですが、一応簡単にテストしてみたところ、1つのインターフェースにINとOUTを設定する事はできました。 正常な動作をするかどうかは不明ですが・・・ ちなみに、確認したルータのIOSバージョンは、12.2(10b)です。
お礼
ありがとうございます。WEBでしらべるとほとんど不可となっていましたが、一部OUT一つ、IN一つなら可能という情報もありました。たとえできたとしても、実際のところIN/OUTを設定してしまうと運用上煩雑になるので行わない方がいいと考えることにします。 ご丁寧なご回答ありがとうございました。
- musimusi
- ベストアンサー率100% (1/1)
確かにこの場合ですと、アクセスリストでは無理になると思います。 しかし、特定のポートだけアクセスできれば良いとか、クライアントBからの特定ポートだけをe0で落とすなどの形を取れば、インチキですがアクセス不可と言う状況を作り出せると思います。 「クライアントBからの全てのパケットを落とす」と設定してしまうと、クライアントCへの折り返すが通らなくなってしまいますのでご注意ください。 例えば、e0の所に access-group 100 in access-list 100 deny tcp 192.168.1.11 192.168.2.10 eq 80 この様な形で、クライアントBからクライアントCへのWebの参照は出来なくなります。(クライアントCがWebサーバとした場合です)
お礼
ありがとうございます。なるほどって感じです。 セキュリティー上好ましくないですが、確かに可能ですね。おかげさまでルータに対する考え方がちょっと変わりました。(やっぱりセキュリティー考えるならFWですね) ところで、最後にお聞きしたいのですが ip address 192.168.2.1 access-group 100 out access-group 101 in のように、1つのインターフェイスにIN/OUT二つのアクセスリストをつけることは可能なんでしょうか?
- musimusi
- ベストアンサー率100% (1/1)
基本的にFWとルータではアクセスリストは考え方が逆になると思いました。そして、ルータのアクセスリストは戻りのパケットについては考えてくれません。(Ciscoの場合FWフューチャーセットを搭載した機種は考えてくれますが・・・) > また、今回の用件(片方向のみ通信許可)を満たすことはルータではできないのですか? この端末からこの端末へのパケットは通すとすれば可能です。 そして、e0にアクセスリストをinで設定した回答は、その様に動作します。 正確な考え方としては「クライアントC(発呼)はクライアントBにアクセスできない」ではなく、「アクセスはしているが戻りのパケットが来ない」と考えた方が宜しいかと思います。セキュリティ対策等でこの様な設定をする事がありますが、アクセスできてる状態では対策となりません。
補足
ご回答ありがとうございます。 片方向の許可、拒否をすると結果として双方向の通信に反映されるということですね。そうだとしたらやはり片方向のみの通信許可はできないのでは?下記の用件を満たすconfigはどのようになるのでしょう? ・クライアントA(発呼)はクライアントCにアクセスできる ・クライアントB(発呼)はクライアントCにアクセスできない ・クライアントC(発呼)はクライアントAにアクセスできる ・クライアントC(発呼)はクライアントBにアクセスできる このような設定はあまりしないかもしれませんが、気になって・・・。よろしくお願いいたします。
補足
ご回答ありがとうございます。musimusiさんと同じことをほかの方からも聞いたことがありますが、なん かしっくりきません。FW(NetScreen)の設定とかは何度もやったことがあるのですが、発呼に対する返 り(戻り)のパケットはわざわざ考えないでポリシーを作成すると思います。これってルータとFWの設定 の違いですか?また、今回の用件(片方向のみ通信許可)を満たすことはルータではできないのですか? また、下記の設定の場合 クライアントA----e0|ルータ|e1-------クライアントC 192.168.1.10 192.168.2.10 クライアントB 192.168.1.11 e0の設定 ip address 192.268.1.1 access-group 100 in e1の設定 ip address 192.168.2.1 アクセスリストの設定 accesslist 100 permit host 192.168.1.10 host 192.168.2.10 ・クライアントA(発呼)はクライアントCにアクセスできる ・クライアントB(発呼)はクライアントCにアクセスできない ・クライアントC(発呼)はクライアントAにアクセスできる ・クライアントC(発呼)はクライアントBにアクセスできない となると考えていいのでしょうか?質問ばかりで申し訳ございませんがご教授お願い致します。