ルータでのフィルタリング設定

Ciscoのルータの設定をしていますが、うまくいかないのでおしえてください。
ネットワーク構成は、host１-ルータ-host２ですべてLANです。
やりたいことはtelnetだけ通過させるということです。
access-list 100 permit tcp any any eq telnet
をポートに適用すればよいと思っていましたが、うまくいきません。
ほかに何かpermitしなければいけないのでしょうか？
ちなみにhost１からルータにtelnetし、そこからhost２にtelnetはできます。
しかし、host１からhost２に直接telnetしようとするとできません。
なぜでしょうか？
おしえてください。

No.1 ベストアンサー 回答者： gold8 回答日時： 2001/12/02 18:37

アクセスリストを適用したいインターフェイスにかけます。

router(config-if)#access-group 100 in ← この場合 Inbaound
router(config-if)#access-group 100 out ← この場合 outbaound

あと、多分返しの1024以上のポートが閉ざされているため、以下のようにかけたインターフェイスにアクセスリストを追加します。

router(config)#access-list 100 permit tcp any any established
router(config)#access-list 100 permit tcp any any gt 1023

でも、あんまし、any - any でかけるより、特定のホストで access-list はかけたほうがいいですよ。

この回答への補足

回答ありがとうございます。
追加の質問です。
例えば、アプリケーションで40001のポートを使うため、これだけ通過させたいというときも
ccess-list 100 permit tcp any any established
が必要なんでしょうか。
それともtelnetとかftpなどを通過させるときだけ必要なんでしょうか。

補足日時：2001/12/04 19:12

No.2 回答者： noname#41381 回答日時： 2001/12/03 15:45

ちょっと自信ないですが...

gold8さんの回答から、
　access-list 100 permit tcp any any established
があることで、認証されたtelnet接続の応答パケットは許可されるはずだったような。
ということで、
　access-list 100 permit tcp any any gt 1023
は特に必要ないのでは？

ただ、gold8さんが言われているとおりanyではなく特定ホストでaccess-listをかけるのがいいので、
access-list 100 permit tcp any any established
access-list 100 permit tcp <host1> <host2> eq telnet
access-list 100 permit tcp <host1> eq telnet <host2>
access-list 100 deny any any
みたいな感じではどうですか？
※３行目はhost2からもhost1にtelnet許可する場合です

試してみてないので、ちょっと自信なしです。

No.3 回答者： gold8 回答日時： 2001/12/05 00:30

＞router(config)#access-list 100 permit tcp any any established

＞router(config)#access-list 100 permit tcp any any gt 1023

少し補足をしますと、ルータのアクセスリストというのは、パケットの方向を厳密に解釈します（最近のPC 用の FireWall も同じみたいですが）。

HOST1 ⇒ HOST2 の場合、HOST2 にいくパケットは、TCP の場合、返しの 1024 以上のポートが必要となるので、HOST2 ⇒ HOST1 の方向に、gt1023 とかければ通信できます。ただし、この設定だと、HOST2 からの発信の場合も許可されるので、セキュリティの観点から、HOST1 から HOST2 へ発信されたパケットだけ返信する ESTABLISHED（確立された）コマンドを使えば、HOST2 ⇒ HOST1 への送信については拒否されます。

また、GT1023 を ESATBLISHED の下の行に追加する場合は、アクセスリストを特定のホスト間ではなく、ネットワーク単位（ANY でも同じ）でかける場合、GT1023 をかけないとアプリケーションによっては接続できないケースを経験してます。（FTP など、私も全体を把握してるわけではないですが）また、ESTABLISHED を先に記述しておけば、GT1023 は、アクセスリストのマッチカウントが ESTABLISHED と比較して少なくなければならず、逆のカウント数になれば、不正アクセスを起こした可能性があるということで、トラブルの切り分けにも役立ちます。返しのポート番号も 5000 以上の番号を使うことはあまりないので、範囲で区切ってもいいでしょう（RANGE コマンド）
あとは、ポート番号の仕様にもよりますが、双方向発信でないと接続できないものもありますので、その場合は、 EQ XXXXX を記述しなければなりません。このケースはほとんど存在しなく、サーバ間同士の分散アプリケーション（RPC)くらいしか使いませんので、大半のポートについてはほとんど ESTABLISHED で間違いないと思います。

No.4 回答者： noname#41381 回答日時： 2001/12/05 09:13

#1の補足から

>例えば、アプリケーションで40001のポートを使うため、これだけ通過させたいというときも
>access-list 100 permit tcp any any established
> が必要なんでしょうか。
>
応答パケットを許可するためのaccess-list(...gt 1023等)を記述していないのであれば必要です。
ただ、確立されたコネクションということで、TCP接続ということになると思います。
ということで、40001がTCPであれば大丈夫ですが、UDPならダメでしょう。
といってもこれまた自信なしです。　ごめんなさい
もしテスト環境があるのであれば、やってみるのが一番早いかな ^ ^;)

＃専門家＋経験者のgold8さんの回答を参考にしてください。
＃というのも、なんといっても実経験で養った知識というのが一番重要です。
＃「本にはこう書いてあるのに動かないっ！」なんてことよくありますよね。