- 締切済み
Cisco 拡張ACLについて
お世話になります。 現在、CiscoのACLを勉強しているのですが、どうしても以下の違いが分かりません。 1) access-list 170 permit tcp any any eq 1099 2) access-list 170 permit tcp any eq 1099 any 上記1)は理解できるのですが、なぜ2)が必要なのか、2)がどのような意味を成しているのか、なぜ必要なのかが理解できないのです。 2)は、送信元のポート番号が1099、送信先はanyという意味なのでしょうか? お手数ですが、ご回答頂けると幸いです。
- baka-asu
- お礼率32% (23/71)
- ネットワーク
- 回答数1
- ありがとう数2
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- invalid
- ベストアンサー率61% (67/109)
> 2)は、送信元のポート番号が1099、送信先はanyという意味なのでしょうか? お察しの通り 1) access-list 170 permit tcp any any eq 1099 は 送信元:any ⇒ 宛先:any 宛先ポート:1099 を許可 2) access-list 170 permit tcp any eq 1099 any は 送信元:any 送信元ポート:1099 ⇒ 宛先:any を許可 です。 > なぜ必要なのか 両方向に同じような接続をするから。 としか思えませんが、設計の要件によるのではないでしょうか。
関連するQ&A
- CiscoスイッチのVLANにFTPとNTPを許可したい(ftp通信のアクセスリストについて)
FTPとNTPの通信について困っているので教えてください。 下記内容で、アクセスリストを作成し、FTPとNTPの通信を許可したいのですが、うまく行かず困っております。 どなたかお分かりになる方がいらっしゃいましたら、ご教授お願い致します。 -------------------------------------------------- ●構成 〔any〕- 〔スイッチVlan3〕-〔サーバ〕 interface3 ●ACL access-list 101 permit tcp any any eq ftp access-list 101 permit tcp any any eq ftp-data access-list 101 permit udp any eq ntp any eq ntp access-list 101 permit tcp any any eq 443 access-list 101 permit udp any any access-list 101 permit tcp any any established ●VLANにACLを適用 interface vlan 3 ip access-group 101 in ----------------------------------------------------- ポートが開放されているかどうかの確認方法を知らないため、httpsで確認出来るよう443を追加しました。 しかし、httpsは通信出来るのですがFTPにおいては、どうやらこれではうまく通信出来ないようなのです。 具体的に間違っているところを教えていただけると幸いです。 どうぞよろしくお願いします。
- ベストアンサー
- ネットワーク
- CiscoルーターACL
A・・・192.168.11.0/24セグメント B・・・172.16.12.0/24セグメント 以下要件を満たしたいのですが、上手くいきません [要件] 1.192.168.11.49が、デフォルトゲートウェイであり、80番通信以外は許可したい。(管理画面が見えるため) 2.172.16.12.0から、192.168.11.0セグメントへの通信は、拒否したい(icmpはOK) 3.192.168.11.11から172.16.12.0端末への通信は全て許可する。(RDPとか、ファイルコピーしたいため) [作成したACL] access-list 100 deny tcp 172.16.12.0 0.0.0.255 host 192.168.11.49 eq 80 access-list 100 permit ip 172.16.12.0 0.0.0.255 host 192.168.11.49 access-list 100 deny ip 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 access-list 100 permit ip any any ip access-group 100 in [概略図] 192.168.11.0/24セグメント-------(fa0/0)ルーター(fa0/1)-------172.16.12.0/24セグメント fa0/1のinバウンドにACLを設定。 [質問] 2のicmpも現在通らないのですが、これはicmp許可すれば通るとおもうので問題ではないのですが、 3の条件が満たせません。 →私自身、192.から172にRDP通信を行ったとき、fa0/0にはACLを設定しておらず、192からのRDPがとおるので、172からの応答はinバウンドのACLに引っかからないと思っていたのですが、 access-list 100 deny ip 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 に 引っかかって通信が成功しません。 どなたか解決方法をご存知の方がいらっしゃいましたら ご教授のほう宜しくお願いします。
- ベストアンサー
- ネットワーク
- ACLについて
CCNAの問題集で回答の分からないものがあります。 telnetを拒否するのに、なぜtcpを指定するのかが分かりません・・・。 【問題】 10.10.1.0/24サブネットへの全てのtelnet接続を拒否するACLは次のうちどれですか? 【選択肢】 A access-list 15 deny telnet any 10.10.1.0 0.0.0.255 eq 23 B access-list 115 deny udp any 10.10.1.0 eq telnet C access-list 15 deny tcp 10.10.1.0 255.255.255.0 eq telnet D access-list 115 deny tcp any 10.10.1.0 0.0.0.255 eq 23 E access-list 15 deny udp any 10.10.1.0 255.255.255.0 eq 23 【回答】 D 私はtelnet接続の拒否なんだからAだろうと思ったのですが・・・。 何故、Dなのでしょうか?何卒宜しくお願い致します。
- ベストアンサー
- その他([技術者向] コンピューター)
- CISCO1605バックアップについて
Ciscoルータ1605のバックアップについておしえてください。 アクセスリストを作成し、パケットのフィルタリングをしています。 TFTPを使用してバックアップしたいので、アクセスリストに以下を 追加しましたがうまくいきません。 access-list 101 permit udp any any eq tftp しかし、この行を追加したときはうまくバックアップできます。 access-list 101 permit udp any any Q1.tftp以外に何かを通過可にすればよいのでしょうか。 もしかして、tcpのestablishedのような返答パケットがあるのでしょうか。 Q2.udpのプロトコルを1つずつアクセスリストに追加していき、 全てのudpプロトコルを通過可にしたのみうまくいきませんでした。 udpプロトコルすべて通過可=permit udp any anyじゃないのでしょうか。 おしえてください。よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- CiscoのACLのかけかたについて
よろしくお願いします。 Catalyst3550などのACLのかけかたで方向が混乱してしまいます。 行いたい内容は、 vlan30 <---> vlan10 :OK vlan30 <---> vlan20 :NG とした場合以下の設定は間違っていますよね?? ---> interface Vlan10 ip address 192.168.10.1 255.255.255.0 interface Vlan20 ip address 192.168.20.1 255.255.255.0 interface Vlan30 ip address 192.168.30.1 255.255.255.0 ip access-group v-30 in ip access-list extended v-30 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 deny ip any any <--- この場合は、 ip access-group v-30 out とするか、 ip access-group v-30 in で、 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 にするべきですよね?? 方向の考え方は、 in は入ってくるパケットで out は出て行くパッケトでよろしいでしょうか? なので、 in を使うとき、送信元は相手セグメント・送信先は自セグメント out を使うとき、送信元は自セグメント・送信先は相手セグメント という認識であっていますでしょうか? ※拡張ACLの場合 よろしくお願い致します。
- 締切済み
- ネットワーク
- ciscoルータのフィルタリングについて
cisco811の設定で困っています。 以下のようなaccess-listをBRI0:1.1に適用しています。 access-list 104 permit icmp 192.9.217.0 0.0.0.255 192.9.214.0 0.0.0.255 access-list 104 permit tcp 192.9.217.0 0.0.0.255 192.9.214.0 0.0.0.255 eq telnet access-list 104 permit tcp 192.9.217.0 0.0.0.255 192.9.214.0 0.0.0.255 established 192.9.217.0/24のネットワークから192.9.214.0/24のネットワークへはpingとtelnet を許可するという設定です。最初はなんの問題もなくping,telnetできてるのですが 急にpingに応答がなくなったり、telnetできなくなります。その後はaccess-listを 外してやれば復旧するのですが・・ どうしてこのような現象になるのか、ご存知の方いらっしゃいましたら教えてください。 よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- Ciscoルータでフィルタリングの設定方法をおしえてください。
このルータは2つのLANポートを持っています。入ってくるパケットにフィルタリングをかけたいですが、設定が うまくいきません。 やりたいことは2つのマシンでソケット接続をし、TCP/IPで送受をするだけです。ただし、使用しているポートは 40071、40074です。この状況で不要なパケットにフィルタリングをしたいのです。 Q1.Ciscoのルータでは、「access-list 101 permit tcp any any eq telnet」でaccess-listを作成し、ポートに 適用することで、telnetのみ通過させるといった設定が可能ですが、この方法で上の40071と40074だけ 通過させるという設定は可能でしょうか。 Q2.逆に不要なパケットの通過を拒否する設定(例:access-list 102 deny tcp any any eq ftp)をして、ポートに 適用しました。この方法だと必要なものだけ通過すると思ったのですが、1つでも拒否の設定にすると pingを投げたらcoreを吐いてしまいます。どうしてでしょうか。 大変困っています。おわかりの方は教えてください。 もし、上の2つ以外でも結構なのでフィルタリングのよい方法があったらおしえてください。 ようは、ルータをはさんだ2つのマシン間でpingが通り、上の2つのポートは開けておく。 この条件を満たすフィルタリング方法をおしえてください。
- ベストアンサー
- その他(インターネット接続・通信)
- ルータでのフィルタリング設定
Ciscoのルータの設定をしていますが、うまくいかないのでおしえてください。 ネットワーク構成は、host1-ルータ-host2ですべてLANです。 やりたいことはtelnetだけ通過させるということです。 access-list 100 permit tcp any any eq telnet をポートに適用すればよいと思っていましたが、うまくいきません。 ほかに何かpermitしなければいけないのでしょうか? ちなみにhost1からルータにtelnetし、そこからhost2にtelnetはできます。 しかし、host1からhost2に直接telnetしようとするとできません。 なぜでしょうか? おしえてください。
- ベストアンサー
- その他(インターネット接続・通信)
- L2のACL
L2のACL L2のACLの設定について質問します。 access-list 100 deny icmp host 10.10.10.10 host 192.168.100.1 access-list 100 permit ip any any interface Vlan10 ip address 10.10.10.10 255.255.255.0 ip access-group 100 in ip access-group 100 out 上記の設定をした時に10.10.10.10→192.168.100.1の PINGが通過してしまいます。 本来はip access-group 100 outのみで良いと思いますが、 念のためinを追加設定しました。 Catalyst2960を利用してます。 回答をお願いします。
- ベストアンサー
- ネットワーク