Ciscoのルータの設定をしていますが、うまくいかないのでおしえてください。
ネットワーク構成は、host1-ルータ-host2ですべてLANです。
やりたいことはtelnetだけ通過させるということです。
access-list 100 permit tcp any any eq telnet
をポートに適用すればよいと思っていましたが、うまくいきません。
ほかに何かpermitしなければいけないのでしょうか?
ちなみにhost1からルータにtelnetし、そこからhost2にtelnetはできます。
しかし、host1からhost2に直接telnetしようとするとできません。
なぜでしょうか?
おしえてください。
No.1ベストアンサー
- 回答日時:
アクセスリストを適用したいインターフェイスにかけます。
router(config-if)#access-group 100 in ← この場合 Inbaound
router(config-if)#access-group 100 out ← この場合 outbaound
あと、多分返しの1024以上のポートが閉ざされているため、以下のようにかけたインターフェイスにアクセスリストを追加します。
router(config)#access-list 100 permit tcp any any established
router(config)#access-list 100 permit tcp any any gt 1023
でも、あんまし、any - any でかけるより、特定のホストで access-list はかけたほうがいいですよ。
この回答への補足
回答ありがとうございます。
追加の質問です。
例えば、アプリケーションで40001のポートを使うため、これだけ通過させたいというときも
ccess-list 100 permit tcp any any established
が必要なんでしょうか。
それともtelnetとかftpなどを通過させるときだけ必要なんでしょうか。
No.2
- 回答日時:
ちょっと自信ないですが...
gold8さんの回答から、
access-list 100 permit tcp any any established
があることで、認証されたtelnet接続の応答パケットは許可されるはずだったような。
ということで、
access-list 100 permit tcp any any gt 1023
は特に必要ないのでは?
ただ、gold8さんが言われているとおりanyではなく特定ホストでaccess-listをかけるのがいいので、
access-list 100 permit tcp any any established
access-list 100 permit tcp <host1> <host2> eq telnet
access-list 100 permit tcp <host1> eq telnet <host2>
access-list 100 deny any any
みたいな感じではどうですか?
※3行目はhost2からもhost1にtelnet許可する場合です
試してみてないので、ちょっと自信なしです。
No.3
- 回答日時:
>router(config)#access-list 100 permit tcp any any established
>router(config)#access-list 100 permit tcp any any gt 1023
少し補足をしますと、ルータのアクセスリストというのは、パケットの方向を厳密に解釈します(最近のPC 用の FireWall も同じみたいですが)。
HOST1 ⇒ HOST2 の場合、HOST2 にいくパケットは、TCP の場合、返しの 1024 以上のポートが必要となるので、HOST2 ⇒ HOST1 の方向に、gt1023 とかければ通信できます。ただし、この設定だと、HOST2 からの発信の場合も許可されるので、セキュリティの観点から、HOST1 から HOST2 へ発信されたパケットだけ返信する ESTABLISHED(確立された)コマンドを使えば、HOST2 ⇒ HOST1 への送信については拒否されます。
また、GT1023 を ESATBLISHED の下の行に追加する場合は、アクセスリストを特定のホスト間ではなく、ネットワーク単位(ANY でも同じ)でかける場合、GT1023 をかけないとアプリケーションによっては接続できないケースを経験してます。(FTP など、私も全体を把握してるわけではないですが)また、ESTABLISHED を先に記述しておけば、GT1023 は、アクセスリストのマッチカウントが ESTABLISHED と比較して少なくなければならず、逆のカウント数になれば、不正アクセスを起こした可能性があるということで、トラブルの切り分けにも役立ちます。返しのポート番号も 5000 以上の番号を使うことはあまりないので、範囲で区切ってもいいでしょう(RANGE コマンド)
あとは、ポート番号の仕様にもよりますが、双方向発信でないと接続できないものもありますので、その場合は、 EQ XXXXX を記述しなければなりません。このケースはほとんど存在しなく、サーバ間同士の分散アプリケーション(RPC)くらいしか使いませんので、大半のポートについてはほとんど ESTABLISHED で間違いないと思います。
No.4
- 回答日時:
#1の補足から
>例えば、アプリケーションで40001のポートを使うため、これだけ通過させたいというときも
>access-list 100 permit tcp any any established
> が必要なんでしょうか。
>
応答パケットを許可するためのaccess-list(...gt 1023等)を記述していないのであれば必要です。
ただ、確立されたコネクションということで、TCP接続ということになると思います。
ということで、40001がTCPであれば大丈夫ですが、UDPならダメでしょう。
といってもこれまた自信なしです。 ごめんなさい
もしテスト環境があるのであれば、やってみるのが一番早いかな ^ ^;)
#専門家+経験者のgold8さんの回答を参考にしてください。
#というのも、なんといっても実経験で養った知識というのが一番重要です。
#「本にはこう書いてあるのに動かないっ!」なんてことよくありますよね。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- UNIX・Linux ホストオンリーアダプタで接続したい 1 2022/08/10 21:46
- Windows 10 インストールしたてのVirtualBoxの仮想マシンにDHCPで割り振られるIPアドレスにつきまして 1 2023/05/03 14:46
- ルーター・ネットワーク機器 YAMAHAルータ設定について 1 2022/09/03 16:31
- その他(悩み相談・人生相談) ファイル共有ソフトshareについて 1 2023/06/20 04:03
- ルーター・ネットワーク機器 ひとつのスイッチでルーターの冗長化を複数させたい 1 2023/04/12 22:46
- ゲーム 【Town of Host】 1 2023/02/28 06:48
- 英語 教えてください。(英語) 2 2023/02/01 09:28
- 通信機器・周辺機器 ネットワーク分割について 3 2022/10/24 09:23
- Wi-Fi・無線LAN USBーイーサネット変換器について 4 2022/06/19 15:16
- その他(プログラミング・Web制作) laravel 本番環境でメールが送れません。 1 2023/02/17 17:57
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
NTP の TCPポートは?
-
親がAndroidで子がiPhoneで子供...
-
AndroidのAPN設定をいじってい...
-
ボタンが2つだけのデジタル時...
-
Googleナビで高速に乗って遠出...
-
こんばんは。 先日、別カテゴリ...
-
OLYMPUSの日付について教えて欲...
-
メールの添付ファイル(PDFのみ...
-
WAKWAKメールのIMAP設定方法を...
-
Amazonの欲しいものリストを公...
-
[オートフィルタ]の適用範囲の...
-
Googleフォームで作成したアン...
-
Eclipseの環境変数PATHの設定場所
-
PUBGモバイルについてです。 最...
-
振動試験の掃引の条件設定について
-
時刻を自動で設定するができない
-
FileMaker Serverの外部認証に...
-
19歳です。Googleでpornhubなど...
-
microsoft edgeでIEの設定(信頼...
-
無線LANルーターはリチウム電池...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
NTP の TCPポートは?
-
NTTルータの通信を遮断する設定
-
このプロトコルについて教えて...
-
windows10で、firewallを無効化...
-
VPNでファイル共有せずにIPアド...
-
ポート3306が使われています
-
ファイアウォールで特定のポー...
-
400 Bad Requestについて。
-
ルータでのフィルタリング設定
-
ポート:443 にアクセスできる...
-
パケットフィルタリングとポー...
-
minecraftマルチプレイヤーに入...
-
エプソンプリンターEP-807Aにつ...
-
VPNを使うとSKYPEできない
-
親がAndroidで子がiPhoneで子供...
-
ボタンが2つだけのデジタル時...
-
AndroidのAPN設定をいじってい...
-
東横線のQシート、供給過多なの...
-
WAKWAKメールのIMAP設定方法を...
-
JCOM利用で、TVを買い替えする...
おすすめ情報