• ベストアンサー
  • すぐに回答を!

IOSアクセスリストの設定について

どなたか助けてください。 CCNA認定ガイド第2版にて access-list 110 deny tcp any host 172.16.10.5 eq 23 access-list 110 permit ip any any int e2 ip access-group 110 out の設定になっていますが バーチャルラボ2.0の書籍の設定では access-list 110 deny tcp host172.16.11.2 host 172.16.20.2 eq telnet access-list 110 permit ip any 0.0.0.0 255.255.255.255 int s0 ip access-group 110 in になっています。 この in , outの意味が全然わかりません。 in はルータに入ってくるパケットに制限をかける。 out はルータから出ていくパケットに制限をかける。 バーチャルラボの例 ルータA(f0/0) → (e0)ルータB(s0) → (s0)ルータC 172.16.11.2                     172.16.20.2 outじゃ間違いなのですか? 問題でも ネットワーク172.16.0.0からトラフィックだけがs0インターフェースに入れるようにする アクセスコンフィギュレーションはどれ? access-list 10 permit 172.16.0.0 0.0.255.255 int s0 ip access-group 10 in が正解ですがなぜ?outは間違えです。説明では、入力トラフィックを指定しているためと 書かれていますがどれですか? ながなが書きましたが、何方か簡単に説明してください。 その他、アクセスリストの書籍、ホームページ等がありましたら教えてください。 よろしくお願いいたします。

共感・応援の気持ちを伝えよう!

  • 回答数2
  • 閲覧数181
  • ありがとう数1

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1

こんにちは。 どのルータに設定を行おうとしているのかがわからないのとその書籍を所有していないので、回答がずれてしまうかもしれませんが。 アクセスリストのinとoutは、 in: (入力アクセスリスト):  パケットはアクセスリストによる処理のあと、外向きの (出力) インタフェースへルーティングされます。 out:(出力アクセスリスト):  パケットはまず外向きの (出力) インタフェースへ とルーティングされ、それからアクセスリストによって処理されます。 また、標準アクセスリストは宛先ネットワークに一番近いところに設定します。 例えば HostA→(f0/1)ルータA(f0/0) → (e0)ルータB(s0) → (s0)ルータC(f0/0) →HostB の場合、 HostAからHostBへのtelnetを制限したいとします。 HostAからルータAに入ってくる時点でブロックしたければ、ルータAのf0/1のinにアクセスリストを適用。 ルータAまでは入ってくるのは許すけど、ルータBに行く前にブロックしたければ、ルータのf0/0のoutに適用。 もっと先にルータCの入り口でブロックしたければ、 ルータCのs0のinにて適用。 ちなみに標準アクセスリストを使用した場合には、仮にルータAのf0/0に適用すると、プロトコル指定が出来ないので、ルータBにもtelnetが出来なくなってしまいます。 よって宛先ネットワークに一番近いところで適用するのが普通です。よってルータC(f0/0)のoutに適用です。 補足があればもう少しフォロー可能です。

共感・感謝の気持ちを伝えよう!

質問者からの補足

早速の回答ありがとうございます。 HostA→(f0/1)ルータA(f0/0) → (e0)ルータB(s0) → (s0)ルータC(f0/0) →HostB 例えばルータAのf0/1はinでf0/0がoutの認識でよろしいのでしょうか? それともルータAのf0/1にinとoutがあるのでしょうか? 例ですがルータAにf0/1,f0/0,e0,インターネットのインターフェイスがある場合は、f0/1がinでf0/0,e0,インターネットはoutの認識でよろしいのですか? よろしくお願いいたします。

その他の回答 (1)

  • 回答No.2

HostA→(f0/1)ルータA(f0/0) → (e0)ルータB(s0) → (s0)ルータC(f0/0) →HostB HostAからHostBに向かってデータが流れる場合は、ルータAのf0/1はinでf0/0がoutの認識になります。 逆にHostBからHostAに向けたアクセスを制限する場合にはルータAのf0/0がinでf0/1がoutの認識になります。 ですのでルータAのf0/1にはinとoutがあります。 例とは異なりますがルータAにf0/1,f0/0ともう一つe0,があり、e0にインターネットが繫がっているとします。 ルータAでインターネットからのルータAへのアクセスを 許したくなければe0のinにアクセス制限を、またHostAからのみインターネットへのWWW閲覧を許すのであれば、e0のoutにその記述をします。 以上です。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ありがとうございました。

関連するQ&A

  • cisco アクセスリストの設定について

    どうかご教授願います。 アクセスリストについて調べているとプロトコルをIPにした場合 TCP/UDP/ICMPもすべて含まれると書いてありました。 しかし、私の管理している環境では以下のように アクセスリストのプロトコルをipで設定した後に 今度はicmpで設定しているのですがこれは必要なのでしょうか? ※アクセスリストは一部を書いただけなのでもちろんこの後に permitで許可したアクセスリストはあります。 よろしくお願いいたします。 interface Vlan5 description /test/ ip address 192.168.5.254 255.255.255.0 ip access-group 10 in access-list 10 deny ip 192.168.5.128 0.0.0.127 host 192.168.6.10 access-list 10 deny ip host 192.168.5.1 host 192.168.6.1 access-list 10 deny ip host 192.168.5.1 host 192.168.6.2 access-list 10 deny icmp 192.168.5.128 0.0.0.127 host 192.168.6.10 access-list 10 deny icmp host 192.168.5.1 host 192.168.6.1 access-list 10 deny icmp host 192.168.5.1 host 192.168.6.2

  • Cisco アクセスリストにつきまして

    アクセスリストについて 以下のようなアクセスリストの記述があった場合に5の access-list 101 ip any any は どういった意味をもつのでしょうか? (5があるのとないのでは何か違いがでるのでしょうか?) 自分的にはあってもなくても変わらないと思うのですが・・ (1、2が許可となりそれ以外は記述もふくめすべて拒否されるため5は意味がないような気がしますが、いかがでしょうか?) 1.access-list 101 ip permit ~ 2.access-list 101 ip permit ~ 3,access-list 101 ip deny ~ 4.access-list 101 ip deny ~ 5.access-list 101 ip any any 宜しくお願いいたします。

  • L2のACL

    L2のACL L2のACLの設定について質問します。 access-list 100 deny icmp host 10.10.10.10 host 192.168.100.1 access-list 100 permit ip any any interface Vlan10 ip address 10.10.10.10 255.255.255.0 ip access-group 100 in ip access-group 100 out 上記の設定をした時に10.10.10.10→192.168.100.1の PINGが通過してしまいます。 本来はip access-group 100 outのみで良いと思いますが、 念のためinを追加設定しました。 Catalyst2960を利用してます。 回答をお願いします。

  • ciscoのASA機のアクセスリストの設定・削除方

    ciscoのASA機のアクセスリストの設定・削除方法 ■以下のコマンドであっているのか、知りたいです。  また注意する点など補足あればお願いします。 まずアクセスリストを下記のように設定します。 ※設定するコマンド例 (config)#access-list A extended permit ip ・・・ (config)#access-list A extended permit ip ・・・ (config)#access-list A extended deny ip any any (config)#access-group A in interface B 次に設定したアクセスリストを変更する手段として、 昔からの方法ですが、 一旦、インターフェースの適用を削除してから、アクセスリストの削除、追加をして、 再度インターフェースに適用するやりかたであってますでしょうか? ※入力するコマンド例 (config)#no access-group A in interface B (config)#no access-list A (config)# (config)#access-list A extended permit ip ・・・ (config)#access-list A extended permit ip ・・・ (config)#access-list A extended deny ip any any (config)#access-group A in interface B ※Aはアクセスリストの名前、Bはインターフェースグループの名前です。 以上、よろしくお願いします。

  • cisco アクセスリスト

    現在cisco1600シリーズのルータを使い アクセスリストの設定を行っています。 機材 ・PC1(192.168.0.1) ・PC2(10.0.0.1) ・ルータ 条件 1、pc1-pc2 FTPのみ許可 2、pc2-pc1 pingのみ許可 3、上位機以外すべて禁止 (config)access-list 100 permit tcp host 192.168.0.1 host 10.0.0.1 eq 21 (config)access-list 100 permit icmp host 10.0.0.1 host 192.168.0.1 echo (config-if)ip access-group 100 in 上記で大丈夫でしょうか? その他質問なのですが、 1.アクセスグループを消すときは no ip access-group 100 in でいいのでしょうか。最後がoutになった場合はどうなるのでしょうか 2、pingのみ許可する場合はICMPのオプションのechoとecho reply はどちらにしたらいいのでしょうか 3、上記のように設定すれば、最後の三番目の条件の残りすべて禁止 は暗黙のdenyですべて禁止という設定になるのでしょうか? まだ実際に検証ができないため、よろしくお願いいたします。

  • アクセスリストについて(ftp通信)

    初めて質問させて頂きます。 今、FTPの通信で困っています。以下の内容の要件でアクセスリストを作成してFTPのGETの通信を行おうとしているのですが現状、要件通り に行かなくて困っています。 以下に、構成と作成したアクセスリストを提示しました。 どなたかわかる方がいらっしゃいましたらご指導お願いします。 できれば具体的にどこがいけないのかを教えて頂きたいです。 構成 送信元      送信先 要件 10.90.11.20    172.15.160.4  FTPのGET 10.90.11.21    172.15.160.4  FTPのGET 10.90.11.22    172.15.160.4  FTPのGET 10.80.11.22    172.15.160.4  FTPのGET 【アクセスリスト】 interface vlan TEST ip access-group FTP_TUUSIN_IN in ip access-group FTP_TUUSIN_OUT out ip access-list extended FTP_TUUSIN_OUT permit icmp any any permit tcp host 10.90.11.22 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.90.11.21 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.90.11.20 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.80.11.22 eq ftp host 172.15.160.4 gt 1023 established permit tcp host 10.90.11.22 eq ftp-data host 172.15.160.4 permit tcp host 10.90.11.21 eq ftp-data host 172.15.160.4 permit tcp host 10.90.11.20 eq ftp-data host 172.15.160.4 permit tcp host 10.80.11.22 eq ftp-data host 172.15.160.4 permit tcp host 10.90.11.22 eq ftp host 172.15.160.4 permit tcp host 10.90.11.21 eq ftp host 172.15.160.4 permit tcp host 10.90.11.20 eq ftp host 172.15.160.4 permit tcp host 10.80.11.22 eq ftp host 172.15.160.4 permit udp any host 224.0.0.2 eq 1985 deny ip any any log ip access-list extended FTP_TUUSIN_IN permit icmp any any permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 gt 1023 established permit tcp host 172.15.160.4 eq ftp host 10.90.11.21 gt 1023 established permit tcp host 172.15.160.4 eq ftp host 10.90.11.20 gt 1023 established permit tcp host 172.15.160.4 eq ftp host 10.80.11.22 gt 1023 established permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.22 permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.21 permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.20 permit tcp host 172.15.160.4 eq ftp-data host 10.80.11.22 permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 permit tcp host 172.15.160.4 eq ftp host 10.90.11.21 permit tcp host 172.15.160.4 eq ftp host 10.90.11.20 permit tcp host 172.15.160.4 eq ftp host 10.80.11.21 permit udp any host 224.0.0.2 eq 1985 deny ip any any log

  • アクセスリストのことで

    CCNAの受験を考えている者ですが。 ある本のあるページに以下のような記述がありました。 access-list 10 deny host 172.16.30.2 別のページには以下のような記述もあります。 access-list 50 permit 172.16.10.3 「host」が必要な時と必要でない時の違いがわからないのですが。 ご存知の方がいましたら教えて下さい。

  • CiscoルーターACL

    A・・・192.168.11.0/24セグメント B・・・172.16.12.0/24セグメント 以下要件を満たしたいのですが、上手くいきません [要件] 1.192.168.11.49が、デフォルトゲートウェイであり、80番通信以外は許可したい。(管理画面が見えるため) 2.172.16.12.0から、192.168.11.0セグメントへの通信は、拒否したい(icmpはOK) 3.192.168.11.11から172.16.12.0端末への通信は全て許可する。(RDPとか、ファイルコピーしたいため) [作成したACL] access-list 100 deny tcp 172.16.12.0 0.0.0.255 host 192.168.11.49 eq 80 access-list 100 permit ip 172.16.12.0 0.0.0.255 host 192.168.11.49 access-list 100 deny ip 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 access-list 100 permit ip any any ip access-group 100 in [概略図] 192.168.11.0/24セグメント-------(fa0/0)ルーター(fa0/1)-------172.16.12.0/24セグメント fa0/1のinバウンドにACLを設定。 [質問] 2のicmpも現在通らないのですが、これはicmp許可すれば通るとおもうので問題ではないのですが、 3の条件が満たせません。 →私自身、192.から172にRDP通信を行ったとき、fa0/0にはACLを設定しておらず、192からのRDPがとおるので、172からの応答はinバウンドのACLに引っかからないと思っていたのですが、 access-list 100 deny ip 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 に 引っかかって通信が成功しません。 どなたか解決方法をご存知の方がいらっしゃいましたら ご教授のほう宜しくお願いします。

  • ACLの設定

    ACLの設定 確認するまでもないことかも知れませんが、 確認をお願いします。 条件 10.10.10.1から192.168.100.1へのTELNET通信(tcp)を許可。 その他のTELNET通信(tcp)は拒否。 その他の通信はすべて許可。 access-list 100 permit tcp host 10.10.10.1 host 192.168.100.1 eq 23 access-list 100 deny tcp any any eq 23 access-list 100 ip any any

  • CiscoのACLのかけかたについて

    よろしくお願いします。 Catalyst3550などのACLのかけかたで方向が混乱してしまいます。 行いたい内容は、 vlan30 <---> vlan10 :OK vlan30 <---> vlan20 :NG とした場合以下の設定は間違っていますよね?? ---> interface Vlan10 ip address 192.168.10.1 255.255.255.0 interface Vlan20 ip address 192.168.20.1 255.255.255.0 interface Vlan30 ip address 192.168.30.1 255.255.255.0 ip access-group v-30 in ip access-list extended v-30 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 deny ip any any <--- この場合は、 ip access-group v-30 out とするか、 ip access-group v-30 in で、 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 にするべきですよね?? 方向の考え方は、 in は入ってくるパケットで out は出て行くパッケトでよろしいでしょうか? なので、 in を使うとき、送信元は相手セグメント・送信先は自セグメント out を使うとき、送信元は自セグメント・送信先は相手セグメント という認識であっていますでしょうか? ※拡張ACLの場合 よろしくお願い致します。