プロが教える店舗&オフィスのセキュリティ対策術

CiscoルーターACL

解決済

  • 質問者:kureakai
  • 質問日時:
  • 回答数:2

A・・・192.168.11.0/24セグメント
B・・・172.16.12.0/24セグメント

以下要件を満たしたいのですが、上手くいきません

[要件]
1.192.168.11.49が、デフォルトゲートウェイであり、80番通信以外は許可したい。(管理画面が見えるため)
2.172.16.12.0から、192.168.11.0セグメントへの通信は、拒否したい(icmpはOK)
3.192.168.11.11から172.16.12.0端末への通信は全て許可する。(RDPとか、ファイルコピーしたいため)

[作成したACL]
access-list 100 deny tcp 172.16.12.0 0.0.0.255 host 192.168.11.49 eq 80
access-list 100 permit ip 172.16.12.0 0.0.0.255 host 192.168.11.49
access-list 100 deny ip 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 100 permit ip any any

ip access-group 100 in

[概略図]
192.168.11.0/24セグメント-------(fa0/0)ルーター(fa0/1)-------172.16.12.0/24セグメント
fa0/1のinバウンドにACLを設定。

[質問]
2のicmpも現在通らないのですが、これはicmp許可すれば通るとおもうので問題ではないのですが、
3の条件が満たせません。
→私自身、192.から172にRDP通信を行ったとき、fa0/0にはACLを設定しておらず、192からのRDPがとおるので、172からの応答はinバウンドのACLに引っかからないと思っていたのですが、
access-list 100 deny ip 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255
に 引っかかって通信が成功しません。

どなたか解決方法をご存知の方がいらっしゃいましたら
ご教授のほう宜しくお願いします。

通報する

この質問への回答は締め切られました。

質問の本文を隠す

A 回答 (2件)

No.2ベストアンサー

  • 回答者: okinawa157
  • 回答日時:

>172.16.12.1端末から、80番通信は出来ないのですが、


>\\192.168.11.11 といった、ファイル共有が行えてしまいます。
access-list 100 permit tcp 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 neq 80
がTCPの80番ポート以外は許可するという意味です。
ファイル共有ってたぶんTCPの445ポート使っていると思うのですが・・・

>このファイル共有をとめて、ICMP通信のみ通したいのです。
そうなると
access-list 100 permit tcp 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 neq 80
はいらないです。
    • good
    • 0
通報する
この回答へのお礼

度々ありがとうございます。
なんとか通信が出来るようになりました。

通報する
お礼日時:2011/10/25 19:23

No.1

  • 回答者: okinawa157
  • 回答日時:

1.172.16.12.0⇒192.168.11.xxへのTCP80番ポート以外は許可


2.172.16.12.0⇒192.168.11.0セグメントへのTCP・UDP通信は拒否(icmpは許可)
3.192.168.11.11⇒172.16.12.0セグメントへのICMP通信は許可

ACLはルータを通過するパケットに適用されているのでルータが発する
パケットまたはルータに着信するパケットはACLでチェックの対象に指定することはできません。
ルータの管理画面の事をおっしゃっているならACLに作成しなくても見れるのではないでしょうか?
よって
1についてはルータの管理画面ではないのであれば
80番ポート以外許可する宛先のIPアドレスをxxに指定してください。
neqとはnot equalのことで~と等しくないという意味です。
なのでtcpの80以外は許可でよいのではないでしょうか?
3については方向が192.168.11からなので別途ACLを作成
間違っていたらごめんなさい

fa0/1 in
access-list 100 permit tcp 172.16.12.0 0.0.0.255 192.168.11.xx neq 80
access-list 100 permit icmp 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255

fa0/0 in
access-list 200 permit ip host 192.168.11.11 192.168.11.0 0.0.0.255

この回答への補足

ご回答ありがとうございます。
早速ためさせていただきました。

要件として、192.168.11.49は、バッファローのルーターであり
その管理画面が見えると困るので、80を拒否にしようと考えました。

                  インターネット
                     | 
192.168.11.0/24セグメント----バッファロールータ---(fa0/0)シスコルーター(fa0/1)-------172.16.12.0/24セグメント

fa0/1 inに適用しましたが、
access-list 100 permit tcp 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 neq 80
access-list 100 permit icmp 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255

172.16.12.1端末から、80番通信は出来ないのですが、
\\192.168.11.11 といった、ファイル共有が行えてしまいます。
このファイル共有をとめて、ICMP通信のみ通したいのです。

補足日時:2011/10/12 19:19
通報する
    • good
    • 0
通報する

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

Q質問する(無料)

ページトップページトップ

Q質問する(無料)

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

おすすめ情報