OKWAVEのAI「あい」が美容・健康の悩みに最適な回答をご提案!
-PR-
解決
済み

ルータでのフィルタリング設定

  • すぐに回答を!
  • 質問No.178373
  • 閲覧数202
  • ありがとう数2
  • 気になる数0
  • 回答数4
  • コメント数0

お礼率 0% (0/5)

Ciscoのルータの設定をしていますが、うまくいかないのでおしえてください。
ネットワーク構成は、host1-ルータ-host2ですべてLANです。
やりたいことはtelnetだけ通過させるということです。
access-list 100 permit tcp any any eq telnet
をポートに適用すればよいと思っていましたが、うまくいきません。
ほかに何かpermitしなければいけないのでしょうか?
ちなみにhost1からルータにtelnetし、そこからhost2にtelnetはできます。
しかし、host1からhost2に直接telnetしようとするとできません。
なぜでしょうか?
おしえてください。
通報する
  • 回答数4
  • 気になる
    質問をブックマークします。
    マイページでまとめて確認できます。

質問者が選んだベストアンサー

  • 回答No.1
レベル10

ベストアンサー率 31% (60/191)

アクセスリストを適用したいインターフェイスにかけます。

router(config-if)#access-group 100 in ← この場合 Inbaound
router(config-if)#access-group 100 out ← この場合 outbaound

あと、多分返しの1024以上のポートが閉ざされているため、以下のようにかけたインターフェイスにアクセスリストを追加します。

router(config)#access-list 100 permit tcp any any established
router(config)#access-list 100 permit tcp any any gt 1023

でも、あんまし、any - any でかけるより、特定のホストで access-list はかけたほうがいいですよ。
補足コメント
wau

お礼率 0% (0/5)

回答ありがとうございます。
追加の質問です。
例えば、アプリケーションで40001のポートを使うため、これだけ通過させたいというときも
ccess-list 100 permit tcp any any established
が必要なんでしょうか。
それともtelnetとかftpなどを通過させるときだけ必要なんでしょうか。
投稿日時 - 2001-12-04 19:12:42
-PR-
-PR-

その他の回答 (全3件)

  • 回答No.2

ちょっと自信ないですが... gold8さんの回答から、  access-list 100 permit tcp any any established があることで、認証されたtelnet接続の応答パケットは許可されるはずだったような。 ということで、  access-list 100 permit tcp any any gt 1023 は特に必要ないのでは? ただ、gold ...続きを読む
ちょっと自信ないですが...

gold8さんの回答から、
 access-list 100 permit tcp any any established
があることで、認証されたtelnet接続の応答パケットは許可されるはずだったような。
ということで、
 access-list 100 permit tcp any any gt 1023
は特に必要ないのでは?

ただ、gold8さんが言われているとおりanyではなく特定ホストでaccess-listをかけるのがいいので、
access-list 100 permit tcp any any established
access-list 100 permit tcp <host1> <host2> eq telnet
access-list 100 permit tcp <host1> eq telnet <host2>
access-list 100 deny any any
みたいな感じではどうですか?
※3行目はhost2からもhost1にtelnet許可する場合です

試してみてないので、ちょっと自信なしです。

  • 回答No.3
レベル10

ベストアンサー率 31% (60/191)

>router(config)#access-list 100 permit tcp any any established >router(config)#access-list 100 permit tcp any any gt 1023 少し補足をしますと、ルータのアクセスリストというのは、パケットの方向を厳密に解釈します(最近のPC 用の FireWall も同じみたいですが)。 ...続きを読む
>router(config)#access-list 100 permit tcp any any established
>router(config)#access-list 100 permit tcp any any gt 1023

少し補足をしますと、ルータのアクセスリストというのは、パケットの方向を厳密に解釈します(最近のPC 用の FireWall も同じみたいですが)。

HOST1 ⇒ HOST2 の場合、HOST2 にいくパケットは、TCP の場合、返しの 1024 以上のポートが必要となるので、HOST2 ⇒ HOST1 の方向に、gt1023 とかければ通信できます。ただし、この設定だと、HOST2 からの発信の場合も許可されるので、セキュリティの観点から、HOST1 から HOST2 へ発信されたパケットだけ返信する ESTABLISHED(確立された)コマンドを使えば、HOST2 ⇒ HOST1 への送信については拒否されます。

また、GT1023 を ESATBLISHED の下の行に追加する場合は、アクセスリストを特定のホスト間ではなく、ネットワーク単位(ANY でも同じ)でかける場合、GT1023 をかけないとアプリケーションによっては接続できないケースを経験してます。(FTP など、私も全体を把握してるわけではないですが)また、ESTABLISHED を先に記述しておけば、GT1023 は、アクセスリストのマッチカウントが ESTABLISHED と比較して少なくなければならず、逆のカウント数になれば、不正アクセスを起こした可能性があるということで、トラブルの切り分けにも役立ちます。返しのポート番号も 5000 以上の番号を使うことはあまりないので、範囲で区切ってもいいでしょう(RANGE コマンド)
あとは、ポート番号の仕様にもよりますが、双方向発信でないと接続できないものもありますので、その場合は、 EQ XXXXX を記述しなければなりません。このケースはほとんど存在しなく、サーバ間同士の分散アプリケーション(RPC)くらいしか使いませんので、大半のポートについてはほとんど ESTABLISHED で間違いないと思います。
  • 回答No.4

#1の補足から >例えば、アプリケーションで40001のポートを使うため、これだけ通過させたいというときも >access-list 100 permit tcp any any established > が必要なんでしょうか。 > 応答パケットを許可するためのaccess-list(...gt 1023等)を記述していないのであれば必要です。 ただ、確立されたコ ...続きを読む
#1の補足から
>例えば、アプリケーションで40001のポートを使うため、これだけ通過させたいというときも
>access-list 100 permit tcp any any established
> が必要なんでしょうか。
>
応答パケットを許可するためのaccess-list(...gt 1023等)を記述していないのであれば必要です。
ただ、確立されたコネクションということで、TCP接続ということになると思います。
ということで、40001がTCPであれば大丈夫ですが、UDPならダメでしょう。
といってもこれまた自信なしです。 ごめんなさい
もしテスト環境があるのであれば、やってみるのが一番早いかな ^ ^;)

#専門家+経験者のgold8さんの回答を参考にしてください。
#というのも、なんといっても実経験で養った知識というのが一番重要です。
#「本にはこう書いてあるのに動かないっ!」なんてことよくありますよね。
このQ&Aのテーマ
このQ&Aで解決しましたか?
関連するQ&A
-PR-
-PR-
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する
-PR-
-PR-
-PR-

特集


いま みんなが気になるQ&A

関連するQ&A

-PR-

ピックアップ

-PR-
ページ先頭へ