- ベストアンサー
CiscoルーターACLの要件と問題
- CiscoルーターACLの要件は、デフォルトゲートウェイの設定、80番通信以外の許可、セグメント間の通信制限です。
- 現在、icmp以外の172.16.12.0から192.168.11.0セグメントへの通信が拒否されています。
- 192.168.11.11から172.16.12.0セグメントへの通信は許可されるべきですが、ACLの設定がうまく機能していません。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
>172.16.12.1端末から、80番通信は出来ないのですが、 >\\192.168.11.11 といった、ファイル共有が行えてしまいます。 access-list 100 permit tcp 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 neq 80 がTCPの80番ポート以外は許可するという意味です。 ファイル共有ってたぶんTCPの445ポート使っていると思うのですが・・・ >このファイル共有をとめて、ICMP通信のみ通したいのです。 そうなると access-list 100 permit tcp 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 neq 80 はいらないです。
その他の回答 (1)
- okinawa157
- ベストアンサー率100% (1/1)
1.172.16.12.0⇒192.168.11.xxへのTCP80番ポート以外は許可 2.172.16.12.0⇒192.168.11.0セグメントへのTCP・UDP通信は拒否(icmpは許可) 3.192.168.11.11⇒172.16.12.0セグメントへのICMP通信は許可 ACLはルータを通過するパケットに適用されているのでルータが発する パケットまたはルータに着信するパケットはACLでチェックの対象に指定することはできません。 ルータの管理画面の事をおっしゃっているならACLに作成しなくても見れるのではないでしょうか? よって 1についてはルータの管理画面ではないのであれば 80番ポート以外許可する宛先のIPアドレスをxxに指定してください。 neqとはnot equalのことで~と等しくないという意味です。 なのでtcpの80以外は許可でよいのではないでしょうか? 3については方向が192.168.11からなので別途ACLを作成 間違っていたらごめんなさい fa0/1 in access-list 100 permit tcp 172.16.12.0 0.0.0.255 192.168.11.xx neq 80 access-list 100 permit icmp 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 fa0/0 in access-list 200 permit ip host 192.168.11.11 192.168.11.0 0.0.0.255
補足
ご回答ありがとうございます。 早速ためさせていただきました。 要件として、192.168.11.49は、バッファローのルーターであり その管理画面が見えると困るので、80を拒否にしようと考えました。 インターネット | 192.168.11.0/24セグメント----バッファロールータ---(fa0/0)シスコルーター(fa0/1)-------172.16.12.0/24セグメント fa0/1 inに適用しましたが、 access-list 100 permit tcp 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 neq 80 access-list 100 permit icmp 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 172.16.12.1端末から、80番通信は出来ないのですが、 \\192.168.11.11 といった、ファイル共有が行えてしまいます。 このファイル共有をとめて、ICMP通信のみ通したいのです。
お礼
度々ありがとうございます。 なんとか通信が出来るようになりました。