A・・・192.168.11.0/24セグメント
B・・・172.16.12.0/24セグメント
以下要件を満たしたいのですが、上手くいきません
[要件]
1.192.168.11.49が、デフォルトゲートウェイであり、80番通信以外は許可したい。(管理画面が見えるため)
2.172.16.12.0から、192.168.11.0セグメントへの通信は、拒否したい(icmpはOK)
3.192.168.11.11から172.16.12.0端末への通信は全て許可する。(RDPとか、ファイルコピーしたいため)
[作成したACL]
access-list 100 deny tcp 172.16.12.0 0.0.0.255 host 192.168.11.49 eq 80
access-list 100 permit ip 172.16.12.0 0.0.0.255 host 192.168.11.49
access-list 100 deny ip 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 100 permit ip any any
ip access-group 100 in
[概略図]
192.168.11.0/24セグメント-------(fa0/0)ルーター(fa0/1)-------172.16.12.0/24セグメント
fa0/1のinバウンドにACLを設定。
[質問]
2のicmpも現在通らないのですが、これはicmp許可すれば通るとおもうので問題ではないのですが、
3の条件が満たせません。
→私自身、192.から172にRDP通信を行ったとき、fa0/0にはACLを設定しておらず、192からのRDPがとおるので、172からの応答はinバウンドのACLに引っかからないと思っていたのですが、
access-list 100 deny ip 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255
に 引っかかって通信が成功しません。
どなたか解決方法をご存知の方がいらっしゃいましたら
ご教授のほう宜しくお願いします。
No.2ベストアンサー
- 回答日時:
>172.16.12.1端末から、80番通信は出来ないのですが、
>\\192.168.11.11 といった、ファイル共有が行えてしまいます。
access-list 100 permit tcp 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 neq 80
がTCPの80番ポート以外は許可するという意味です。
ファイル共有ってたぶんTCPの445ポート使っていると思うのですが・・・
>このファイル共有をとめて、ICMP通信のみ通したいのです。
そうなると
access-list 100 permit tcp 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 neq 80
はいらないです。
No.1
- 回答日時:
1.172.16.12.0⇒192.168.11.xxへのTCP80番ポート以外は許可
2.172.16.12.0⇒192.168.11.0セグメントへのTCP・UDP通信は拒否(icmpは許可)
3.192.168.11.11⇒172.16.12.0セグメントへのICMP通信は許可
ACLはルータを通過するパケットに適用されているのでルータが発する
パケットまたはルータに着信するパケットはACLでチェックの対象に指定することはできません。
ルータの管理画面の事をおっしゃっているならACLに作成しなくても見れるのではないでしょうか?
よって
1についてはルータの管理画面ではないのであれば
80番ポート以外許可する宛先のIPアドレスをxxに指定してください。
neqとはnot equalのことで~と等しくないという意味です。
なのでtcpの80以外は許可でよいのではないでしょうか?
3については方向が192.168.11からなので別途ACLを作成
間違っていたらごめんなさい
fa0/1 in
access-list 100 permit tcp 172.16.12.0 0.0.0.255 192.168.11.xx neq 80
access-list 100 permit icmp 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255
fa0/0 in
access-list 200 permit ip host 192.168.11.11 192.168.11.0 0.0.0.255
この回答への補足
ご回答ありがとうございます。
早速ためさせていただきました。
要件として、192.168.11.49は、バッファローのルーターであり
その管理画面が見えると困るので、80を拒否にしようと考えました。
インターネット
|
192.168.11.0/24セグメント----バッファロールータ---(fa0/0)シスコルーター(fa0/1)-------172.16.12.0/24セグメント
fa0/1 inに適用しましたが、
access-list 100 permit tcp 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 neq 80
access-list 100 permit icmp 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255
172.16.12.1端末から、80番通信は出来ないのですが、
\\192.168.11.11 といった、ファイル共有が行えてしまいます。
このファイル共有をとめて、ICMP通信のみ通したいのです。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- FTTH・光回線 HGW経由でルーター接続(IPv4 over IPv6)時のセグメントについて 2 2022/07/26 14:14
- 固定IP Win11 アダプター設定変更にイーサネットが表示されない 1 2022/12/03 18:31
- その他(データベース) Microsoft Accessについて 1 2022/06/06 16:20
- 固定IP MACアドレスはLAN内で相手を特定するアドレスですか? PCから監視カメラを閲覧するときに、セグメ 3 2022/07/23 09:04
- FTTH・光回線 ONUのアドレスを変更したいが 3 2023/03/23 17:50
- C言語・C++・C# TCP/IP通信時のサーバーからの受信 2 2022/11/23 09:11
- Excel(エクセル) EXCELの外部データ取得ができない 1 2023/03/23 09:03
- VPN 無料のwifiはなぜ危険性高い? VPN プライベートDNSモードにすれば安全? 2 2022/06/04 18:23
- ルーター・ネットワーク機器 YAMAHAルータ設定について 1 2022/09/03 16:31
- Wi-Fi・無線LAN ローソンで wi-fi 接続できませんでした スマホは OPPO A 73です 何がいけなかったか 4 2022/05/31 03:53
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
VPN 同じセグメント構成のLAN間...
-
セグメントとサブネット
-
負荷分散装置を経由する同一ネ...
-
ルーティングについて
-
IPアドレス「0/16」とか「0/24...
-
同一ネットワークとはどういう...
-
異なるセグメント間での通信(ル...
-
すべてのパブリックネットワー...
-
ネットワーク経由のファイルコ...
-
DNSサーバーとWebサーバーについて
-
Webページに繋がるまでの流れに...
-
スカパー(@skyperfectv.co.jp...
-
【Hyper-Vの質問】ホストOS以外...
-
ActiveDirectoryの共有フォルダ
-
光コンセントとlanポートがある...
-
スイッチングハブでいくつかの...
-
TCPポートって何ですか?
-
ルータでLAN側WAN側を同じネッ...
-
テレビでDAZNが見られません 普...
-
ネットワークの管理者ってなん...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
セグメントとサブネット
-
VLANへのIPアドレス設定について
-
社内LANのIP不足への対応(セグ...
-
異なるセグメントでPC⇒iPadへPi...
-
NICを2枚挿したときのデフォル...
-
Windowsファイアウォールの設定...
-
セグメントの違うプリンターで...
-
サーバ・クライアントでセグメ...
-
VPN 同じセグメント構成のLAN間...
-
syslogサーバを別セグメントに...
-
負荷分散装置を経由する同一ネ...
-
ループバックアドレスの設定に...
-
ルーティングについて
-
アルファベット表示について
-
ルーターでセグメントと分けたい
-
retとretfについて。
-
IPアドレスが競合した場合
-
ルーティング情報について
-
IPアドレス「0/16」とか「0/24...
-
同一ネットワークとはどういう...
おすすめ情報