- ベストアンサー
ACLについて
CCNAの問題集で回答の分からないものがあります。 telnetを拒否するのに、なぜtcpを指定するのかが分かりません・・・。 【問題】 10.10.1.0/24サブネットへの全てのtelnet接続を拒否するACLは次のうちどれですか? 【選択肢】 A access-list 15 deny telnet any 10.10.1.0 0.0.0.255 eq 23 B access-list 115 deny udp any 10.10.1.0 eq telnet C access-list 15 deny tcp 10.10.1.0 255.255.255.0 eq telnet D access-list 115 deny tcp any 10.10.1.0 0.0.0.255 eq 23 E access-list 15 deny udp any 10.10.1.0 255.255.255.0 eq 23 【回答】 D 私はtelnet接続の拒否なんだからAだろうと思ったのですが・・・。 何故、Dなのでしょうか?何卒宜しくお願い致します。
- fineshot33
- お礼率53% (108/201)
- その他([技術者向] コンピューター)
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
telnetがTCPの23番ポート(23/tcp)を使うプロトコルだからです http://greenonions.blog5.fc2.com/blog-entry-57.html TCP, UDP, IP, ICMPあたりがちゃんと理解できていますか?
その他の回答 (1)
- komattematyo
- ベストアンサー率33% (24/71)
cess-list 15 deny 単純にdeny の後の構文にtelnetが無いのでAとおっしゃっても 打ち込めないので無理だと思います。 ここでのtelnet指示はeqで決めてるので 正解はDでよろしいのではないのでしょうか? 調べずに答えますが、telnetはtcpポート番号23番でのサービスになるので ここでは、プロトコルのTCPの指定からはいるかと思います。 ここでTCPを指定してeqでポート指定が正しい書き方かと思います。
お礼
ありがとうございます。 構文として存在しないのですね。理解できました。 今後とも何卒宜しくお願い致します。
関連するQ&A
- CiscoルーターACL
A・・・192.168.11.0/24セグメント B・・・172.16.12.0/24セグメント 以下要件を満たしたいのですが、上手くいきません [要件] 1.192.168.11.49が、デフォルトゲートウェイであり、80番通信以外は許可したい。(管理画面が見えるため) 2.172.16.12.0から、192.168.11.0セグメントへの通信は、拒否したい(icmpはOK) 3.192.168.11.11から172.16.12.0端末への通信は全て許可する。(RDPとか、ファイルコピーしたいため) [作成したACL] access-list 100 deny tcp 172.16.12.0 0.0.0.255 host 192.168.11.49 eq 80 access-list 100 permit ip 172.16.12.0 0.0.0.255 host 192.168.11.49 access-list 100 deny ip 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 access-list 100 permit ip any any ip access-group 100 in [概略図] 192.168.11.0/24セグメント-------(fa0/0)ルーター(fa0/1)-------172.16.12.0/24セグメント fa0/1のinバウンドにACLを設定。 [質問] 2のicmpも現在通らないのですが、これはicmp許可すれば通るとおもうので問題ではないのですが、 3の条件が満たせません。 →私自身、192.から172にRDP通信を行ったとき、fa0/0にはACLを設定しておらず、192からのRDPがとおるので、172からの応答はinバウンドのACLに引っかからないと思っていたのですが、 access-list 100 deny ip 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 に 引っかかって通信が成功しません。 どなたか解決方法をご存知の方がいらっしゃいましたら ご教授のほう宜しくお願いします。
- ベストアンサー
- ネットワーク
- Cisco 拡張ACLについて
お世話になります。 現在、CiscoのACLを勉強しているのですが、どうしても以下の違いが分かりません。 1) access-list 170 permit tcp any any eq 1099 2) access-list 170 permit tcp any eq 1099 any 上記1)は理解できるのですが、なぜ2)が必要なのか、2)がどのような意味を成しているのか、なぜ必要なのかが理解できないのです。 2)は、送信元のポート番号が1099、送信先はanyという意味なのでしょうか? お手数ですが、ご回答頂けると幸いです。
- 締切済み
- ネットワーク
- CiscoスイッチのVLANにFTPとNTPを許可したい(ftp通信のアクセスリストについて)
FTPとNTPの通信について困っているので教えてください。 下記内容で、アクセスリストを作成し、FTPとNTPの通信を許可したいのですが、うまく行かず困っております。 どなたかお分かりになる方がいらっしゃいましたら、ご教授お願い致します。 -------------------------------------------------- ●構成 〔any〕- 〔スイッチVlan3〕-〔サーバ〕 interface3 ●ACL access-list 101 permit tcp any any eq ftp access-list 101 permit tcp any any eq ftp-data access-list 101 permit udp any eq ntp any eq ntp access-list 101 permit tcp any any eq 443 access-list 101 permit udp any any access-list 101 permit tcp any any established ●VLANにACLを適用 interface vlan 3 ip access-group 101 in ----------------------------------------------------- ポートが開放されているかどうかの確認方法を知らないため、httpsで確認出来るよう443を追加しました。 しかし、httpsは通信出来るのですがFTPにおいては、どうやらこれではうまく通信出来ないようなのです。 具体的に間違っているところを教えていただけると幸いです。 どうぞよろしくお願いします。
- ベストアンサー
- ネットワーク
- L2のACL
L2のACL L2のACLの設定について質問します。 access-list 100 deny icmp host 10.10.10.10 host 192.168.100.1 access-list 100 permit ip any any interface Vlan10 ip address 10.10.10.10 255.255.255.0 ip access-group 100 in ip access-group 100 out 上記の設定をした時に10.10.10.10→192.168.100.1の PINGが通過してしまいます。 本来はip access-group 100 outのみで良いと思いますが、 念のためinを追加設定しました。 Catalyst2960を利用してます。 回答をお願いします。
- ベストアンサー
- ネットワーク
- Ciscoルータでフィルタリングの設定方法をおしえてください。
このルータは2つのLANポートを持っています。入ってくるパケットにフィルタリングをかけたいですが、設定が うまくいきません。 やりたいことは2つのマシンでソケット接続をし、TCP/IPで送受をするだけです。ただし、使用しているポートは 40071、40074です。この状況で不要なパケットにフィルタリングをしたいのです。 Q1.Ciscoのルータでは、「access-list 101 permit tcp any any eq telnet」でaccess-listを作成し、ポートに 適用することで、telnetのみ通過させるといった設定が可能ですが、この方法で上の40071と40074だけ 通過させるという設定は可能でしょうか。 Q2.逆に不要なパケットの通過を拒否する設定(例:access-list 102 deny tcp any any eq ftp)をして、ポートに 適用しました。この方法だと必要なものだけ通過すると思ったのですが、1つでも拒否の設定にすると pingを投げたらcoreを吐いてしまいます。どうしてでしょうか。 大変困っています。おわかりの方は教えてください。 もし、上の2つ以外でも結構なのでフィルタリングのよい方法があったらおしえてください。 ようは、ルータをはさんだ2つのマシン間でpingが通り、上の2つのポートは開けておく。 この条件を満たすフィルタリング方法をおしえてください。
- ベストアンサー
- その他(インターネット接続・通信)
- IOSアクセスリストの設定について
どなたか助けてください。 CCNA認定ガイド第2版にて access-list 110 deny tcp any host 172.16.10.5 eq 23 access-list 110 permit ip any any int e2 ip access-group 110 out の設定になっていますが バーチャルラボ2.0の書籍の設定では access-list 110 deny tcp host172.16.11.2 host 172.16.20.2 eq telnet access-list 110 permit ip any 0.0.0.0 255.255.255.255 int s0 ip access-group 110 in になっています。 この in , outの意味が全然わかりません。 in はルータに入ってくるパケットに制限をかける。 out はルータから出ていくパケットに制限をかける。 バーチャルラボの例 ルータA(f0/0) → (e0)ルータB(s0) → (s0)ルータC 172.16.11.2 172.16.20.2 outじゃ間違いなのですか? 問題でも ネットワーク172.16.0.0からトラフィックだけがs0インターフェースに入れるようにする アクセスコンフィギュレーションはどれ? access-list 10 permit 172.16.0.0 0.0.255.255 int s0 ip access-group 10 in が正解ですがなぜ?outは間違えです。説明では、入力トラフィックを指定しているためと 書かれていますがどれですか? ながなが書きましたが、何方か簡単に説明してください。 その他、アクセスリストの書籍、ホームページ等がありましたら教えてください。 よろしくお願いいたします。
- ベストアンサー
- その他(インターネット接続・通信)
- access-classコマンドってなぜ別にあるのでしょうか?
以下のようにCCNAの問題で192.168.1.100の端末のTelnetを拒否する問題がありました。 拡張アクセスリストで23番ポートのinを拒否すればよいと思うのですが、なぜわざわざaccess-classというコマンドがあるのでしょうか? RouterB>enable RouterB#configure terminal RouterB(config)#access-list 1 deny host 192.168.1.100 RouterB(config)#access-list 1 permit any RouterB(config)#line vty 0 4 RouterB(config-line)#access-class 1 in
- ベストアンサー
- ネットワーク
- CISCO1605バックアップについて
Ciscoルータ1605のバックアップについておしえてください。 アクセスリストを作成し、パケットのフィルタリングをしています。 TFTPを使用してバックアップしたいので、アクセスリストに以下を 追加しましたがうまくいきません。 access-list 101 permit udp any any eq tftp しかし、この行を追加したときはうまくバックアップできます。 access-list 101 permit udp any any Q1.tftp以外に何かを通過可にすればよいのでしょうか。 もしかして、tcpのestablishedのような返答パケットがあるのでしょうか。 Q2.udpのプロトコルを1つずつアクセスリストに追加していき、 全てのudpプロトコルを通過可にしたのみうまくいきませんでした。 udpプロトコルすべて通過可=permit udp any anyじゃないのでしょうか。 おしえてください。よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- アクセスリストについて(ftp通信)
初めて質問させて頂きます。 今、FTPの通信で困っています。以下の内容の要件でアクセスリストを作成してFTPのGETの通信を行おうとしているのですが現状、要件通り に行かなくて困っています。 以下に、構成と作成したアクセスリストを提示しました。 どなたかわかる方がいらっしゃいましたらご指導お願いします。 できれば具体的にどこがいけないのかを教えて頂きたいです。 構成 送信元 送信先 要件 10.90.11.20 172.15.160.4 FTPのGET 10.90.11.21 172.15.160.4 FTPのGET 10.90.11.22 172.15.160.4 FTPのGET 10.80.11.22 172.15.160.4 FTPのGET 【アクセスリスト】 interface vlan TEST ip access-group FTP_TUUSIN_IN in ip access-group FTP_TUUSIN_OUT out ip access-list extended FTP_TUUSIN_OUT permit icmp any any permit tcp host 10.90.11.22 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.90.11.21 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.90.11.20 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.80.11.22 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.90.11.22 eq ftp-data host 172.15.160.4 permit tcp host 10.90.11.21 eq ftp-data host 172.15.160.4 permit tcp host 10.90.11.20 eq ftp-data host 172.15.160.4 permit tcp host 10.80.11.22 eq ftp-data host 172.15.160.4 permit tcp host 10.90.11.22 eq ftp host 172.15.160.4 permit tcp host 10.90.11.21 eq ftp host 172.15.160.4 permit tcp host 10.90.11.20 eq ftp host 172.15.160.4 permit tcp host 10.80.11.22 eq ftp host 172.15.160.4 permit udp any host 224.0.0.2 eq 1985 deny ip any any log ip access-list extended FTP_TUUSIN_IN permit icmp any any permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 gt 1023 established permit tcp host 172.15.160.4 eq ftp host 10.90.11.21 gt 1023 established permit tcp host 172.15.160.4 eq ftp host 10.90.11.20 gt 1023 established permit tcp host 172.15.160.4 eq ftp host 10.80.11.22 gt 1023 established permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.22 permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.21 permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.20 permit tcp host 172.15.160.4 eq ftp-data host 10.80.11.22 permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 permit tcp host 172.15.160.4 eq ftp host 10.90.11.21 permit tcp host 172.15.160.4 eq ftp host 10.90.11.20 permit tcp host 172.15.160.4 eq ftp host 10.80.11.21 permit udp any host 224.0.0.2 eq 1985 deny ip any any log
- 締切済み
- ネットワーク
お礼
ありがとうございました、納得できました。 >TCP, UDP, IP, ICMPあたりがちゃんと理解できていますか? 正直、いまいちです。 まったく分からない訳ではないのですが、業務上今月中にCCNAを取得しなくては ならなくなり、理解を後回しにしてしまっています・・・。 今後とも宜しくお願い致します。