• ベストアンサー
  • すぐに回答を!

Ciscoのアクセスリスト

非常に基本的なことですが、今まで勘違いしていたかもしれませんので質問させていただきます。以下の構成で クライアントA----e0|ルータ|e1-------クライアントC 192.168.1.10                  192.168.2.10 クライアントB 192.168.1.11 e0の設定 ip address 192.268.1.1 e1の設定 ip address 192.168.2.1 access-group 100 out アクセスリストの設定 accesslist 100 permit host 192.168.1.10 host 192.168.2.10 とした場合 ・クライアントA(発呼)はクライアントCにアクセスできる ・クライアントB(発呼)はクライアントCにアクセスできない ・クライアントC(発呼)はクライアントAにアクセスできる ・クライアントC(発呼)はクライアントBにアクセスできる となると思っていたのですが間違ってます? 実際の動作は ・クライアントA(発呼)はクライアントCにアクセスできる ・クライアントB(発呼)はクライアントCにアクセスできない ・クライアントC(発呼)はクライアントAにアクセスできる ・クライアントC(発呼)はクライアントBにアクセスできない <==ここがなぜこうなるか理解できません。

共感・応援の気持ちを伝えよう!

  • 回答数4
  • 閲覧数2096
  • ありがとう数3

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1

「クライアントC(発呼)はクライアントBにアクセスできない」の回答です。 クライアントCで発生したパケットがクライアントBに届きます。 そして、クライアントBはクライアントCへパケット返そうとしますが、アクセスリストの条件により、e1のインターフェースからパケットが出ることが出来なくなるからです。 記述内のアクセスリストを訳すと、e1のインターフェースから出て行くパケットに制限を掛けます。その条件はクライアントAからクライアントCに対して出て行くパケットは通しますとなるので、クライアントBからのパケットはe1で捨てられてしまうからです。

共感・感謝の気持ちを伝えよう!

質問者からの補足

ご回答ありがとうございます。musimusiさんと同じことをほかの方からも聞いたことがありますが、なん かしっくりきません。FW(NetScreen)の設定とかは何度もやったことがあるのですが、発呼に対する返 り(戻り)のパケットはわざわざ考えないでポリシーを作成すると思います。これってルータとFWの設定 の違いですか?また、今回の用件(片方向のみ通信許可)を満たすことはルータではできないのですか? また、下記の設定の場合 クライアントA----e0|ルータ|e1-------クライアントC 192.168.1.10                  192.168.2.10 クライアントB 192.168.1.11 e0の設定 ip address 192.268.1.1 access-group 100 in e1の設定 ip address 192.168.2.1 アクセスリストの設定 accesslist 100 permit host 192.168.1.10 host 192.168.2.10 ・クライアントA(発呼)はクライアントCにアクセスできる ・クライアントB(発呼)はクライアントCにアクセスできない ・クライアントC(発呼)はクライアントAにアクセスできる ・クライアントC(発呼)はクライアントBにアクセスできない  となると考えていいのでしょうか?質問ばかりで申し訳ございませんがご教授お願い致します。

その他の回答 (3)

  • 回答No.4

昔、1つのインターフェースにIN/OUT2つのアクセスリストをつけることは不可能と聞いたことあったのですが、一応簡単にテストしてみたところ、1つのインターフェースにINとOUTを設定する事はできました。 正常な動作をするかどうかは不明ですが・・・ ちなみに、確認したルータのIOSバージョンは、12.2(10b)です。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ありがとうございます。WEBでしらべるとほとんど不可となっていましたが、一部OUT一つ、IN一つなら可能という情報もありました。たとえできたとしても、実際のところIN/OUTを設定してしまうと運用上煩雑になるので行わない方がいいと考えることにします。 ご丁寧なご回答ありがとうございました。

  • 回答No.3

確かにこの場合ですと、アクセスリストでは無理になると思います。 しかし、特定のポートだけアクセスできれば良いとか、クライアントBからの特定ポートだけをe0で落とすなどの形を取れば、インチキですがアクセス不可と言う状況を作り出せると思います。 「クライアントBからの全てのパケットを落とす」と設定してしまうと、クライアントCへの折り返すが通らなくなってしまいますのでご注意ください。 例えば、e0の所に access-group 100 in access-list 100 deny tcp 192.168.1.11 192.168.2.10 eq 80 この様な形で、クライアントBからクライアントCへのWebの参照は出来なくなります。(クライアントCがWebサーバとした場合です)

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ありがとうございます。なるほどって感じです。 セキュリティー上好ましくないですが、確かに可能ですね。おかげさまでルータに対する考え方がちょっと変わりました。(やっぱりセキュリティー考えるならFWですね) ところで、最後にお聞きしたいのですが ip address 192.168.2.1 access-group 100 out access-group 101 in のように、1つのインターフェイスにIN/OUT二つのアクセスリストをつけることは可能なんでしょうか?

  • 回答No.2

基本的にFWとルータではアクセスリストは考え方が逆になると思いました。そして、ルータのアクセスリストは戻りのパケットについては考えてくれません。(Ciscoの場合FWフューチャーセットを搭載した機種は考えてくれますが・・・) > また、今回の用件(片方向のみ通信許可)を満たすことはルータではできないのですか?  この端末からこの端末へのパケットは通すとすれば可能です。 そして、e0にアクセスリストをinで設定した回答は、その様に動作します。 正確な考え方としては「クライアントC(発呼)はクライアントBにアクセスできない」ではなく、「アクセスはしているが戻りのパケットが来ない」と考えた方が宜しいかと思います。セキュリティ対策等でこの様な設定をする事がありますが、アクセスできてる状態では対策となりません。  

共感・感謝の気持ちを伝えよう!

質問者からの補足

ご回答ありがとうございます。 片方向の許可、拒否をすると結果として双方向の通信に反映されるということですね。そうだとしたらやはり片方向のみの通信許可はできないのでは?下記の用件を満たすconfigはどのようになるのでしょう? ・クライアントA(発呼)はクライアントCにアクセスできる ・クライアントB(発呼)はクライアントCにアクセスできない ・クライアントC(発呼)はクライアントAにアクセスできる ・クライアントC(発呼)はクライアントBにアクセスできる このような設定はあまりしないかもしれませんが、気になって・・・。よろしくお願いいたします。

関連するQ&A

  • cisco アクセスリストの設定について

    どうかご教授願います。 アクセスリストについて調べているとプロトコルをIPにした場合 TCP/UDP/ICMPもすべて含まれると書いてありました。 しかし、私の管理している環境では以下のように アクセスリストのプロトコルをipで設定した後に 今度はicmpで設定しているのですがこれは必要なのでしょうか? ※アクセスリストは一部を書いただけなのでもちろんこの後に permitで許可したアクセスリストはあります。 よろしくお願いいたします。 interface Vlan5 description /test/ ip address 192.168.5.254 255.255.255.0 ip access-group 10 in access-list 10 deny ip 192.168.5.128 0.0.0.127 host 192.168.6.10 access-list 10 deny ip host 192.168.5.1 host 192.168.6.1 access-list 10 deny ip host 192.168.5.1 host 192.168.6.2 access-list 10 deny icmp 192.168.5.128 0.0.0.127 host 192.168.6.10 access-list 10 deny icmp host 192.168.5.1 host 192.168.6.1 access-list 10 deny icmp host 192.168.5.1 host 192.168.6.2

  • cisco アクセスリスト

    現在cisco1600シリーズのルータを使い アクセスリストの設定を行っています。 機材 ・PC1(192.168.0.1) ・PC2(10.0.0.1) ・ルータ 条件 1、pc1-pc2 FTPのみ許可 2、pc2-pc1 pingのみ許可 3、上位機以外すべて禁止 (config)access-list 100 permit tcp host 192.168.0.1 host 10.0.0.1 eq 21 (config)access-list 100 permit icmp host 10.0.0.1 host 192.168.0.1 echo (config-if)ip access-group 100 in 上記で大丈夫でしょうか? その他質問なのですが、 1.アクセスグループを消すときは no ip access-group 100 in でいいのでしょうか。最後がoutになった場合はどうなるのでしょうか 2、pingのみ許可する場合はICMPのオプションのechoとecho reply はどちらにしたらいいのでしょうか 3、上記のように設定すれば、最後の三番目の条件の残りすべて禁止 は暗黙のdenyですべて禁止という設定になるのでしょうか? まだ実際に検証ができないため、よろしくお願いいたします。

  • IOSアクセスリストの設定について

    どなたか助けてください。 CCNA認定ガイド第2版にて access-list 110 deny tcp any host 172.16.10.5 eq 23 access-list 110 permit ip any any int e2 ip access-group 110 out の設定になっていますが バーチャルラボ2.0の書籍の設定では access-list 110 deny tcp host172.16.11.2 host 172.16.20.2 eq telnet access-list 110 permit ip any 0.0.0.0 255.255.255.255 int s0 ip access-group 110 in になっています。 この in , outの意味が全然わかりません。 in はルータに入ってくるパケットに制限をかける。 out はルータから出ていくパケットに制限をかける。 バーチャルラボの例 ルータA(f0/0) → (e0)ルータB(s0) → (s0)ルータC 172.16.11.2                     172.16.20.2 outじゃ間違いなのですか? 問題でも ネットワーク172.16.0.0からトラフィックだけがs0インターフェースに入れるようにする アクセスコンフィギュレーションはどれ? access-list 10 permit 172.16.0.0 0.0.255.255 int s0 ip access-group 10 in が正解ですがなぜ?outは間違えです。説明では、入力トラフィックを指定しているためと 書かれていますがどれですか? ながなが書きましたが、何方か簡単に説明してください。 その他、アクセスリストの書籍、ホームページ等がありましたら教えてください。 よろしくお願いいたします。

  • Cisco アクセスリストにつきまして

    アクセスリストについて 以下のようなアクセスリストの記述があった場合に5の access-list 101 ip any any は どういった意味をもつのでしょうか? (5があるのとないのでは何か違いがでるのでしょうか?) 自分的にはあってもなくても変わらないと思うのですが・・ (1、2が許可となりそれ以外は記述もふくめすべて拒否されるため5は意味がないような気がしますが、いかがでしょうか?) 1.access-list 101 ip permit ~ 2.access-list 101 ip permit ~ 3,access-list 101 ip deny ~ 4.access-list 101 ip deny ~ 5.access-list 101 ip any any 宜しくお願いいたします。

  • ciscoのASA機のアクセスリストの設定・削除方

    ciscoのASA機のアクセスリストの設定・削除方法 ■以下のコマンドであっているのか、知りたいです。  また注意する点など補足あればお願いします。 まずアクセスリストを下記のように設定します。 ※設定するコマンド例 (config)#access-list A extended permit ip ・・・ (config)#access-list A extended permit ip ・・・ (config)#access-list A extended deny ip any any (config)#access-group A in interface B 次に設定したアクセスリストを変更する手段として、 昔からの方法ですが、 一旦、インターフェースの適用を削除してから、アクセスリストの削除、追加をして、 再度インターフェースに適用するやりかたであってますでしょうか? ※入力するコマンド例 (config)#no access-group A in interface B (config)#no access-list A (config)# (config)#access-list A extended permit ip ・・・ (config)#access-list A extended permit ip ・・・ (config)#access-list A extended deny ip any any (config)#access-group A in interface B ※Aはアクセスリストの名前、Bはインターフェースグループの名前です。 以上、よろしくお願いします。

  • L2のACL

    L2のACL L2のACLの設定について質問します。 access-list 100 deny icmp host 10.10.10.10 host 192.168.100.1 access-list 100 permit ip any any interface Vlan10 ip address 10.10.10.10 255.255.255.0 ip access-group 100 in ip access-group 100 out 上記の設定をした時に10.10.10.10→192.168.100.1の PINGが通過してしまいます。 本来はip access-group 100 outのみで良いと思いますが、 念のためinを追加設定しました。 Catalyst2960を利用してます。 回答をお願いします。

  • アクセスリストについて(ftp通信)

    初めて質問させて頂きます。 今、FTPの通信で困っています。以下の内容の要件でアクセスリストを作成してFTPのGETの通信を行おうとしているのですが現状、要件通り に行かなくて困っています。 以下に、構成と作成したアクセスリストを提示しました。 どなたかわかる方がいらっしゃいましたらご指導お願いします。 できれば具体的にどこがいけないのかを教えて頂きたいです。 構成 送信元      送信先 要件 10.90.11.20    172.15.160.4  FTPのGET 10.90.11.21    172.15.160.4  FTPのGET 10.90.11.22    172.15.160.4  FTPのGET 10.80.11.22    172.15.160.4  FTPのGET 【アクセスリスト】 interface vlan TEST ip access-group FTP_TUUSIN_IN in ip access-group FTP_TUUSIN_OUT out ip access-list extended FTP_TUUSIN_OUT permit icmp any any permit tcp host 10.90.11.22 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.90.11.21 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.90.11.20 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.80.11.22 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.90.11.22 eq ftp-data host 172.15.160.4 permit tcp host 10.90.11.21 eq ftp-data host 172.15.160.4 permit tcp host 10.90.11.20 eq ftp-data host 172.15.160.4 permit tcp host 10.80.11.22 eq ftp-data host 172.15.160.4 permit tcp host 10.90.11.22 eq ftp host 172.15.160.4 permit tcp host 10.90.11.21 eq ftp host 172.15.160.4 permit tcp host 10.90.11.20 eq ftp host 172.15.160.4 permit tcp host 10.80.11.22 eq ftp host 172.15.160.4 permit udp any host 224.0.0.2 eq 1985 deny ip any any log ip access-list extended FTP_TUUSIN_IN permit icmp any any permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 gt 1023 established permit tcp host 172.15.160.4 eq ftp host 10.90.11.21 gt 1023 established permit tcp host 172.15.160.4 eq ftp host 10.90.11.20 gt 1023 established permit tcp host 172.15.160.4 eq ftp host 10.80.11.22 gt 1023 established permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.22 permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.21 permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.20 permit tcp host 172.15.160.4 eq ftp-data host 10.80.11.22 permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 permit tcp host 172.15.160.4 eq ftp host 10.90.11.21 permit tcp host 172.15.160.4 eq ftp host 10.90.11.20 permit tcp host 172.15.160.4 eq ftp host 10.80.11.21 permit udp any host 224.0.0.2 eq 1985 deny ip any any log

  • CiscoのACLのかけかたについて

    よろしくお願いします。 Catalyst3550などのACLのかけかたで方向が混乱してしまいます。 行いたい内容は、 vlan30 <---> vlan10 :OK vlan30 <---> vlan20 :NG とした場合以下の設定は間違っていますよね?? ---> interface Vlan10 ip address 192.168.10.1 255.255.255.0 interface Vlan20 ip address 192.168.20.1 255.255.255.0 interface Vlan30 ip address 192.168.30.1 255.255.255.0 ip access-group v-30 in ip access-list extended v-30 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 deny ip any any <--- この場合は、 ip access-group v-30 out とするか、 ip access-group v-30 in で、 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 にするべきですよね?? 方向の考え方は、 in は入ってくるパケットで out は出て行くパッケトでよろしいでしょうか? なので、 in を使うとき、送信元は相手セグメント・送信先は自セグメント out を使うとき、送信元は自セグメント・送信先は相手セグメント という認識であっていますでしょうか? ※拡張ACLの場合 よろしくお願い致します。

  • ADのドメイン参加の認証について

    教えてください。 ADサーバへのドメイン参加の認証にはIPアドレスを使わないのでしょうか? 関係のない端末についてはADサーバの前に設置されているL3スイッチのアクセスリストで 制御をおこないたいため、必要のないIPについてはdenyにしたのですがドメイン参加ができて しまいました。 このことから認証にはIPアドレスは関係ないのかなと思ったのですが、これという回答を 見つけることができず悩んでいます。 <作っている環境> ADサーバ | | L3スイッチ |   | |   | A端末  B端末 ADサーバ 192.168.10.1 A端末 192.168.20.1 B端末 192.168.30.1 L3スイッチ SVIでVLAN間ルーティングしている Fa0/1 VLAN10 192.168.10.254 Fa0/2 VLAN20 192.168.20.254 Fa0/3 VLAN30 192.168.30.254 アクセスリスト access-list 110 permit ip host 192.168.10.1 host 192.168.20.1 access-list 120 permit ip host 192.168.20.1 host 192.168.10.1 Fa0/1 ip access-group 110 in Fa0/2 ip access-group 120 in で設定しています。 この設定で A端末はログオン成功 B端末はログオン失敗 にしたいのです。

  • アクセスリストのことで

    CCNAの受験を考えている者ですが。 ある本のあるページに以下のような記述がありました。 access-list 10 deny host 172.16.30.2 別のページには以下のような記述もあります。 access-list 50 permit 172.16.10.3 「host」が必要な時と必要でない時の違いがわからないのですが。 ご存知の方がいましたら教えて下さい。