• ベストアンサー
  • 困ってます

cisco アクセスリスト

現在cisco1600シリーズのルータを使い アクセスリストの設定を行っています。 機材 ・PC1(192.168.0.1) ・PC2(10.0.0.1) ・ルータ 条件 1、pc1-pc2 FTPのみ許可 2、pc2-pc1 pingのみ許可 3、上位機以外すべて禁止 (config)access-list 100 permit tcp host 192.168.0.1 host 10.0.0.1 eq 21 (config)access-list 100 permit icmp host 10.0.0.1 host 192.168.0.1 echo (config-if)ip access-group 100 in 上記で大丈夫でしょうか? その他質問なのですが、 1.アクセスグループを消すときは no ip access-group 100 in でいいのでしょうか。最後がoutになった場合はどうなるのでしょうか 2、pingのみ許可する場合はICMPのオプションのechoとecho reply はどちらにしたらいいのでしょうか 3、上記のように設定すれば、最後の三番目の条件の残りすべて禁止 は暗黙のdenyですべて禁止という設定になるのでしょうか? まだ実際に検証ができないため、よろしくお願いいたします。

共感・応援の気持ちを伝えよう!

  • 回答数3
  • 閲覧数1958
  • ありがとう数2

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.2
  • wellow
  • ベストアンサー率46% (892/1932)

>(config)access-list 100 permit tcp host 192.168.0.1 host 10.0.0.1 eq 21 ACL#100で、PC1からPC2へFTP-COMを通しているようですね。 FTP-DATA(TCP/20)は通さないんですね。これじゃファイル転送はできないですね。pasive-ftpを想定してるのかな、でもdefault denyで落ちるとは思いますけど。 悪魔の囁きと捕らえて頂いて結構ですけど、permit tcp any any establishedという手もあります。tcpの戻りパケットにはSYN/ACKビットが立っているんでそれは通すっていうACLです。 内から外は何でもOK、外から内は、内からリクエストされたもんだけ通す、なんてときに使います。分って使っている分には無駄なACLを書かないで済むという利点がありますが、分らないで適用すればザルを作ることになります。これが「悪魔の囁きと捕らえて頂いて結構」とい理由です。正確には「素人さんには悪魔の囁きと捕らえて頂いて結構」という意味です。 >(config)access-list 100 permit icmp host 10.0.0.1 host 192.168.0.1 echo ACL#100でPC2からPC1へのICMP echoを通す、と。 >(config-if)ip access-group 100 in このACL#100のinはどこのインタフェースに適用するんですかね。あなたの説明とACLを見ると、10.0.0.1と192.168.0.1は同じインタフェースの先にいて、そのインタフェースにはセカンダリIPが設定されていて、ルータでローカルルーティングされる。その際にACLがヒットする、ていう前提なんでしょうか。 +--------+ 10.0.0.0/? | router ○----------------------------- +--------+ 192.168.0./? という感じ。 >1.アクセスグループを消すときは >no ip access-group 100 in >でいいのでしょうか。最後がoutになった場合はどうなるのでしょうか そうです。outでも同じ。でも書かれたACLを見る限り、in側適用を意図しているようけどね。 ちなみにACL#100を消すときには、no ip accesss-list 100です。 >2、pingのみ許可する場合はICMPのオプションのechoとecho reply はどちらにしたらいいのでしょうか echoは許可されたリクエスト側、echo replyは許可された応答側。 そもそもどういう構成であるかの説明がないんで、上記のようにしか言えない。 >3、上記のように設定すれば、最後の三番目の条件の残りすべて禁止は暗黙のdenyですべて禁止という設定になるのでしょうか? はい。defaultがどうなるかは意識して置いてください。ciscoはdefault deny、extremeはdefault permitです。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

permit tcp any any established…ちょっとあとで詳しく調べてみます! こんな穴だらけの質問に答えていただいてありがとうございます。 お礼が遅くなり申し訳ございません。 ここに書いてあることを参考に自分なりに学習して まだまだですが知識を身に着けることが出来ました。 ありがとうございました。

その他の回答 (2)

  • 回答No.3
  • wellow
  • ベストアンサー率46% (892/1932)

>ACL#100で、PC1からPC2へFTP-COMを通しているようですね。 「ACL#100で、PC1からPC2へFTP-CMDを通しているようですね。」の誤りです。訂正します。

共感・感謝の気持ちを伝えよう!

  • 回答No.1

勉強はしっかりされていらっしゃるみたいですが、まだ正しい設定を行えるようになるには知識と経験が足りないかもしれません。 >上記で大丈夫でしょうか? 大丈夫ではないです。まず、FTPについて以下の情報が必要です。 ・FTPサーバはどちらのPCか ・FTPモードは何を(パッシブorアクティブ)使用するか それによって、設定するACLは変わります。 また、片方向のインターフェースにしかACLを設定しないのであれば、UDPで一方的に送りつけることは可能なので、「上記以外は禁止」とは厳密には言えないでしょう。 1→消すコマンドはそれでよいです。inとoutの違いは、ACLを適用する方向です。適用インターフェースに入ってくるパケットを見るか(in)、適用インターフェースを出て行くパケットを見るか(out) 2→一番最初の質問と重なりますが、適用するインターフェースが質問に記載されておりませんし、どのインターフェースにどのネットワークが所属しているのかも記載されておりませんので明確な回答は出来ません。 3→その通りです。暗黙のdenyを明示的に設定する場合もありますが、それは好みだったり要求仕様だったりで特に指定はありません。私個人の好みで言えばわざわざ明示的に書きません。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

返事が遅くなり申し訳ございません。 以前から多少自分なりに学習することで 多少理解することができました。 今見ると質問内容が穴だらけで… 参考にさせていただいて、無事解決することが出来ました。 ありがとうございました。

関連するQ&A

  • cisco アクセスリストの設定について

    どうかご教授願います。 アクセスリストについて調べているとプロトコルをIPにした場合 TCP/UDP/ICMPもすべて含まれると書いてありました。 しかし、私の管理している環境では以下のように アクセスリストのプロトコルをipで設定した後に 今度はicmpで設定しているのですがこれは必要なのでしょうか? ※アクセスリストは一部を書いただけなのでもちろんこの後に permitで許可したアクセスリストはあります。 よろしくお願いいたします。 interface Vlan5 description /test/ ip address 192.168.5.254 255.255.255.0 ip access-group 10 in access-list 10 deny ip 192.168.5.128 0.0.0.127 host 192.168.6.10 access-list 10 deny ip host 192.168.5.1 host 192.168.6.1 access-list 10 deny ip host 192.168.5.1 host 192.168.6.2 access-list 10 deny icmp 192.168.5.128 0.0.0.127 host 192.168.6.10 access-list 10 deny icmp host 192.168.5.1 host 192.168.6.1 access-list 10 deny icmp host 192.168.5.1 host 192.168.6.2

  • ciscoのASA機のアクセスリストの設定・削除方

    ciscoのASA機のアクセスリストの設定・削除方法 ■以下のコマンドであっているのか、知りたいです。  また注意する点など補足あればお願いします。 まずアクセスリストを下記のように設定します。 ※設定するコマンド例 (config)#access-list A extended permit ip ・・・ (config)#access-list A extended permit ip ・・・ (config)#access-list A extended deny ip any any (config)#access-group A in interface B 次に設定したアクセスリストを変更する手段として、 昔からの方法ですが、 一旦、インターフェースの適用を削除してから、アクセスリストの削除、追加をして、 再度インターフェースに適用するやりかたであってますでしょうか? ※入力するコマンド例 (config)#no access-group A in interface B (config)#no access-list A (config)# (config)#access-list A extended permit ip ・・・ (config)#access-list A extended permit ip ・・・ (config)#access-list A extended deny ip any any (config)#access-group A in interface B ※Aはアクセスリストの名前、Bはインターフェースグループの名前です。 以上、よろしくお願いします。

  • Cisco アクセスリストにつきまして

    アクセスリストについて 以下のようなアクセスリストの記述があった場合に5の access-list 101 ip any any は どういった意味をもつのでしょうか? (5があるのとないのでは何か違いがでるのでしょうか?) 自分的にはあってもなくても変わらないと思うのですが・・ (1、2が許可となりそれ以外は記述もふくめすべて拒否されるため5は意味がないような気がしますが、いかがでしょうか?) 1.access-list 101 ip permit ~ 2.access-list 101 ip permit ~ 3,access-list 101 ip deny ~ 4.access-list 101 ip deny ~ 5.access-list 101 ip any any 宜しくお願いいたします。

  • CiscoルーターACL

    A・・・192.168.11.0/24セグメント B・・・172.16.12.0/24セグメント 以下要件を満たしたいのですが、上手くいきません [要件] 1.192.168.11.49が、デフォルトゲートウェイであり、80番通信以外は許可したい。(管理画面が見えるため) 2.172.16.12.0から、192.168.11.0セグメントへの通信は、拒否したい(icmpはOK) 3.192.168.11.11から172.16.12.0端末への通信は全て許可する。(RDPとか、ファイルコピーしたいため) [作成したACL] access-list 100 deny tcp 172.16.12.0 0.0.0.255 host 192.168.11.49 eq 80 access-list 100 permit ip 172.16.12.0 0.0.0.255 host 192.168.11.49 access-list 100 deny ip 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 access-list 100 permit ip any any ip access-group 100 in [概略図] 192.168.11.0/24セグメント-------(fa0/0)ルーター(fa0/1)-------172.16.12.0/24セグメント fa0/1のinバウンドにACLを設定。 [質問] 2のicmpも現在通らないのですが、これはicmp許可すれば通るとおもうので問題ではないのですが、 3の条件が満たせません。 →私自身、192.から172にRDP通信を行ったとき、fa0/0にはACLを設定しておらず、192からのRDPがとおるので、172からの応答はinバウンドのACLに引っかからないと思っていたのですが、 access-list 100 deny ip 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 に 引っかかって通信が成功しません。 どなたか解決方法をご存知の方がいらっしゃいましたら ご教授のほう宜しくお願いします。

  • IOSアクセスリストの設定について

    どなたか助けてください。 CCNA認定ガイド第2版にて access-list 110 deny tcp any host 172.16.10.5 eq 23 access-list 110 permit ip any any int e2 ip access-group 110 out の設定になっていますが バーチャルラボ2.0の書籍の設定では access-list 110 deny tcp host172.16.11.2 host 172.16.20.2 eq telnet access-list 110 permit ip any 0.0.0.0 255.255.255.255 int s0 ip access-group 110 in になっています。 この in , outの意味が全然わかりません。 in はルータに入ってくるパケットに制限をかける。 out はルータから出ていくパケットに制限をかける。 バーチャルラボの例 ルータA(f0/0) → (e0)ルータB(s0) → (s0)ルータC 172.16.11.2                     172.16.20.2 outじゃ間違いなのですか? 問題でも ネットワーク172.16.0.0からトラフィックだけがs0インターフェースに入れるようにする アクセスコンフィギュレーションはどれ? access-list 10 permit 172.16.0.0 0.0.255.255 int s0 ip access-group 10 in が正解ですがなぜ?outは間違えです。説明では、入力トラフィックを指定しているためと 書かれていますがどれですか? ながなが書きましたが、何方か簡単に説明してください。 その他、アクセスリストの書籍、ホームページ等がありましたら教えてください。 よろしくお願いいたします。

  • Ciscoのアクセスリスト

    非常に基本的なことですが、今まで勘違いしていたかもしれませんので質問させていただきます。以下の構成で クライアントA----e0|ルータ|e1-------クライアントC 192.168.1.10                  192.168.2.10 クライアントB 192.168.1.11 e0の設定 ip address 192.268.1.1 e1の設定 ip address 192.168.2.1 access-group 100 out アクセスリストの設定 accesslist 100 permit host 192.168.1.10 host 192.168.2.10 とした場合 ・クライアントA(発呼)はクライアントCにアクセスできる ・クライアントB(発呼)はクライアントCにアクセスできない ・クライアントC(発呼)はクライアントAにアクセスできる ・クライアントC(発呼)はクライアントBにアクセスできる となると思っていたのですが間違ってます? 実際の動作は ・クライアントA(発呼)はクライアントCにアクセスできる ・クライアントB(発呼)はクライアントCにアクセスできない ・クライアントC(発呼)はクライアントAにアクセスできる ・クライアントC(発呼)はクライアントBにアクセスできない <==ここがなぜこうなるか理解できません。

  • L2のACL

    L2のACL L2のACLの設定について質問します。 access-list 100 deny icmp host 10.10.10.10 host 192.168.100.1 access-list 100 permit ip any any interface Vlan10 ip address 10.10.10.10 255.255.255.0 ip access-group 100 in ip access-group 100 out 上記の設定をした時に10.10.10.10→192.168.100.1の PINGが通過してしまいます。 本来はip access-group 100 outのみで良いと思いますが、 念のためinを追加設定しました。 Catalyst2960を利用してます。 回答をお願いします。

  • ciscoルータのフィルタリングについて

    cisco811の設定で困っています。 以下のようなaccess-listをBRI0:1.1に適用しています。 access-list 104 permit icmp 192.9.217.0 0.0.0.255 192.9.214.0 0.0.0.255 access-list 104 permit tcp 192.9.217.0 0.0.0.255 192.9.214.0 0.0.0.255 eq telnet access-list 104 permit tcp 192.9.217.0 0.0.0.255 192.9.214.0 0.0.0.255 established 192.9.217.0/24のネットワークから192.9.214.0/24のネットワークへはpingとtelnet を許可するという設定です。最初はなんの問題もなくping,telnetできてるのですが 急にpingに応答がなくなったり、telnetできなくなります。その後はaccess-listを 外してやれば復旧するのですが・・ どうしてこのような現象になるのか、ご存知の方いらっしゃいましたら教えてください。 よろしくお願いします。

  • アクセスリストについて(ftp通信)

    初めて質問させて頂きます。 今、FTPの通信で困っています。以下の内容の要件でアクセスリストを作成してFTPのGETの通信を行おうとしているのですが現状、要件通り に行かなくて困っています。 以下に、構成と作成したアクセスリストを提示しました。 どなたかわかる方がいらっしゃいましたらご指導お願いします。 できれば具体的にどこがいけないのかを教えて頂きたいです。 構成 送信元      送信先 要件 10.90.11.20    172.15.160.4  FTPのGET 10.90.11.21    172.15.160.4  FTPのGET 10.90.11.22    172.15.160.4  FTPのGET 10.80.11.22    172.15.160.4  FTPのGET 【アクセスリスト】 interface vlan TEST ip access-group FTP_TUUSIN_IN in ip access-group FTP_TUUSIN_OUT out ip access-list extended FTP_TUUSIN_OUT permit icmp any any permit tcp host 10.90.11.22 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.90.11.21 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.90.11.20 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.80.11.22 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.90.11.22 eq ftp-data host 172.15.160.4 permit tcp host 10.90.11.21 eq ftp-data host 172.15.160.4 permit tcp host 10.90.11.20 eq ftp-data host 172.15.160.4 permit tcp host 10.80.11.22 eq ftp-data host 172.15.160.4 permit tcp host 10.90.11.22 eq ftp host 172.15.160.4 permit tcp host 10.90.11.21 eq ftp host 172.15.160.4 permit tcp host 10.90.11.20 eq ftp host 172.15.160.4 permit tcp host 10.80.11.22 eq ftp host 172.15.160.4 permit udp any host 224.0.0.2 eq 1985 deny ip any any log ip access-list extended FTP_TUUSIN_IN permit icmp any any permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 gt 1023 established permit tcp host 172.15.160.4 eq ftp host 10.90.11.21 gt 1023 established permit tcp host 172.15.160.4 eq ftp host 10.90.11.20 gt 1023 established permit tcp host 172.15.160.4 eq ftp host 10.80.11.22 gt 1023 established permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.22 permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.21 permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.20 permit tcp host 172.15.160.4 eq ftp-data host 10.80.11.22 permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 permit tcp host 172.15.160.4 eq ftp host 10.90.11.21 permit tcp host 172.15.160.4 eq ftp host 10.90.11.20 permit tcp host 172.15.160.4 eq ftp host 10.80.11.21 permit udp any host 224.0.0.2 eq 1985 deny ip any any log

  • ciscoルータのaccess-listについて

    192.9.211.0/24のネットワークから192.9.214.0/24に telnet/pingできるようにしています。 最初はtelnet/pingできるのですが、途中から できなくなります。192.9.211.0からはFR網の 手前までアクセスできるのですがFR網の先はアクセス できなくなります。 access-listは問題ないと思うのですが、なぜ こうなるのでしょうか。おしえてください。 show confの抜粋です。 router#show conf ! version 12.2 ! enable password admin username admin password 0 admin ip subnet-zero ! isdn switch-type ntt isdn leased-line BRI0 128 ! interface Ethernet0 ip address 192.9.214.253 255.255.255.0 ! interface BRI0 no ip address encapsulation frame-relay no arp frame-relay ! interface BRI0.1 point-to-point ip address 192.168.1.1 255.255.255.0 ip access-group 106 in no arp frame-relay frame-relay interface-dlci 31 ! interface BRI0.2 point-to-point ip address 192.168.2.1 255.255.255.0 ip access-group 104 in no arp frame-relay frame-relay interface-dlci 30 ! router rip version 2 network 192.9.214.0 network 192.168.1.0 network 192.168.2.0 ip classless ! access-list 104 permit icmp 192.9.217.0 0.0.0.255 192.9.214.0 0.0.0.255 access-list 104 permit tcp 192.9.217.0 0.0.0.255 192.9.214.0 0.0.0.255 eq telnet access-list 104 permit tcp 192.9.217.0 0.0.0.255 192.9.214.0 0.0.0.255 established access-list 106 permit icmp 192.9.211.0 0.0.0.255 192.9.214.0 0.0.0.255 access-list 106 permit tcp 192.9.211.0 0.0.0.255 192.9.214.0 0.0.0.255 eq telnet access-list 106 permit tcp 192.9.211.0 0.0.0.255 192.9.214.0 0.0.0.255 established ! line vty 0 4 login local ! end