Ciscoのルータの設定をしていますが、うまくいかないのでおしえてください。
ネットワーク構成は、host1-ルータ-host2ですべてLANです。
やりたいことはtelnetだけ通過させるということです。
access-list 100 permit tcp any any eq telnet
をポートに適用すればよいと思っていましたが、うまくいきません。
ほかに何かpermitしなければいけないのでしょうか?
ちなみにhost1からルータにtelnetし、そこからhost2にtelnetはできます。
しかし、host1からhost2に直接telnetしようとするとできません。
なぜでしょうか?
おしえてください。

このQ&Aに関連する最新のQ&A

A 回答 (4件)

アクセスリストを適用したいインターフェイスにかけます。



router(config-if)#access-group 100 in ← この場合 Inbaound
router(config-if)#access-group 100 out ← この場合 outbaound

あと、多分返しの1024以上のポートが閉ざされているため、以下のようにかけたインターフェイスにアクセスリストを追加します。

router(config)#access-list 100 permit tcp any any established
router(config)#access-list 100 permit tcp any any gt 1023

でも、あんまし、any - any でかけるより、特定のホストで access-list はかけたほうがいいですよ。

この回答への補足

回答ありがとうございます。
追加の質問です。
例えば、アプリケーションで40001のポートを使うため、これだけ通過させたいというときも
ccess-list 100 permit tcp any any established
が必要なんでしょうか。
それともtelnetとかftpなどを通過させるときだけ必要なんでしょうか。

補足日時:2001/12/04 19:12
    • good
    • 0

#1の補足から


>例えば、アプリケーションで40001のポートを使うため、これだけ通過させたいというときも
>access-list 100 permit tcp any any established
> が必要なんでしょうか。
>
応答パケットを許可するためのaccess-list(...gt 1023等)を記述していないのであれば必要です。
ただ、確立されたコネクションということで、TCP接続ということになると思います。
ということで、40001がTCPであれば大丈夫ですが、UDPならダメでしょう。
といってもこれまた自信なしです。 ごめんなさい
もしテスト環境があるのであれば、やってみるのが一番早いかな ^ ^;)

#専門家+経験者のgold8さんの回答を参考にしてください。
#というのも、なんといっても実経験で養った知識というのが一番重要です。
#「本にはこう書いてあるのに動かないっ!」なんてことよくありますよね。
    • good
    • 0

>router(config)#access-list 100 permit tcp any any established


>router(config)#access-list 100 permit tcp any any gt 1023

少し補足をしますと、ルータのアクセスリストというのは、パケットの方向を厳密に解釈します(最近のPC 用の FireWall も同じみたいですが)。

HOST1 ⇒ HOST2 の場合、HOST2 にいくパケットは、TCP の場合、返しの 1024 以上のポートが必要となるので、HOST2 ⇒ HOST1 の方向に、gt1023 とかければ通信できます。ただし、この設定だと、HOST2 からの発信の場合も許可されるので、セキュリティの観点から、HOST1 から HOST2 へ発信されたパケットだけ返信する ESTABLISHED(確立された)コマンドを使えば、HOST2 ⇒ HOST1 への送信については拒否されます。

また、GT1023 を ESATBLISHED の下の行に追加する場合は、アクセスリストを特定のホスト間ではなく、ネットワーク単位(ANY でも同じ)でかける場合、GT1023 をかけないとアプリケーションによっては接続できないケースを経験してます。(FTP など、私も全体を把握してるわけではないですが)また、ESTABLISHED を先に記述しておけば、GT1023 は、アクセスリストのマッチカウントが ESTABLISHED と比較して少なくなければならず、逆のカウント数になれば、不正アクセスを起こした可能性があるということで、トラブルの切り分けにも役立ちます。返しのポート番号も 5000 以上の番号を使うことはあまりないので、範囲で区切ってもいいでしょう(RANGE コマンド)
あとは、ポート番号の仕様にもよりますが、双方向発信でないと接続できないものもありますので、その場合は、 EQ XXXXX を記述しなければなりません。このケースはほとんど存在しなく、サーバ間同士の分散アプリケーション(RPC)くらいしか使いませんので、大半のポートについてはほとんど ESTABLISHED で間違いないと思います。
    • good
    • 0

ちょっと自信ないですが...



gold8さんの回答から、
 access-list 100 permit tcp any any established
があることで、認証されたtelnet接続の応答パケットは許可されるはずだったような。
ということで、
 access-list 100 permit tcp any any gt 1023
は特に必要ないのでは?

ただ、gold8さんが言われているとおりanyではなく特定ホストでaccess-listをかけるのがいいので、
access-list 100 permit tcp any any established
access-list 100 permit tcp <host1> <host2> eq telnet
access-list 100 permit tcp <host1> eq telnet <host2>
access-list 100 deny any any
みたいな感じではどうですか?
※3行目はhost2からもhost1にtelnet許可する場合です

試してみてないので、ちょっと自信なしです。
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QCiscoルータのコマンドリファレンス

Ciscoルータの一般的なコマンドを網羅した
日本語コマンドリファレンスを探しています。

本でもWWW上の情報でもいいので、ご存知の方教えてください。

Aベストアンサー

こんなもんでどうでしょうか?

参考URL:http://www.net-newbie.com/router/

QCiscoルータについて。

初めまして、既出かもしれませんが
探しきれなかったので、ご教授を願いたいです。

私の家のインターネット環境は
回線事業者がNTT西日本 フレッツ光プレミアムファミリータイプで
ISPがASAHI-NETです。

ASAHI-NETからは
固定のグロ-バルIPアドレスを
一つ割り当てて頂いております。

ネットワーク機器は
NTT西日本からレンタルさせて頂いております
ONUとCTUがございます。

CTU以外にCTUからは、自分で用意した
フォンの無線ルータ、自作パソコン、サーバを
各LANケーブルで、繋いでおります。

CTUはルータであるかと思いますが
NTT西日本の推奨では無くなり
サポートも受けれなくなりますが
CTU以外のルータを、使ってみたいと言う気持ちがございます。
※勿論、CTUへのGUIログインも出来なくなる事は、承知の上です。

そこでルータの選定は
個人的に現在、ネットワークエンジニアを志しておりまして
CCNAを取得しようと奮闘中でございます。
ですので、勉強も兼ねてCiscoルータを
CTUの代替ルータとして使いたいと考えております。
※Ciscoルータは、ヤフオクなどで
2500シリーズ or 2600シリーズを用意しようかと思います。

次に疑問点なのですが
フレッツ光プレミアムファミリータイプを、使用するにあたって
ルータは必ず、CTUでなければならないのでしょうか?

次に設定方法ですが
Ciscoルータに、ダイナミックNATの設定と
オーヴァーロードの設定を施し
LAN内のコンピュータは全て
ASAHI-NETから割り振られたグローバルIPアドレスに変換して
インターネットへ繋げる様(ACLの設定)にすれば
良いかと思いますが
これで宜しいのでしょうか?

そしてONUとCTUの接続方法は
ONUとCiscoルータのfastethernet 0/0をLANケーブルで繋ぎ
fastethernet 0/0に、ASAHI-NETから割り振られた
グローバルIPアドレスを、設定すれば良いのでしょうか?

質問が多岐に渡り、非常に申し訳ございませんが
どなたか、ご教授を頂けます様
何卒、宜しくお願い申し上げます。

初めまして、既出かもしれませんが
探しきれなかったので、ご教授を願いたいです。

私の家のインターネット環境は
回線事業者がNTT西日本 フレッツ光プレミアムファミリータイプで
ISPがASAHI-NETです。

ASAHI-NETからは
固定のグロ-バルIPアドレスを
一つ割り当てて頂いております。

ネットワーク機器は
NTT西日本からレンタルさせて頂いております
ONUとCTUがございます。

CTU以外にCTUからは、自分で用意した
フォンの無線ルータ、自作パソコン、サーバを
各LANケーブルで、繋いでおりま...続きを読む

Aベストアンサー

> フレッツ光プレミアムファミリータイプを、使用するにあたって
> ルータは必ず、CTUでなければならないのでしょうか?

必ずCTUを経由する必要があります
ですので、CTUの代替としてCiscoルータを使うことはできません
ただし、CTUの下にルータを接続することは可能です

> ※Ciscoルータは、ヤフオクなどで
> 2500シリーズ or 2600シリーズを用意しようかと思います。

2500シリーズなんて10BASEのインタフェースしかありませんし性能的にも今安価に売っているBBルータよりも1桁以上下です
コマンドの勉強ならともかく実用には耐えられないと思いますが........

QCiscoルータのパスワード解除について

アマチュアでネットワークの勉強がしたいと思っています.
Ciscoのルーターに挑戦したいのですが,非常に高価なので個人オークションやジャンクショップで入手しようと考えています.
しかし,中古品のルータには前の使用者のパスワードがかかっていると聞いています.
わたしは初学者なのでパスワードのかけかた,解除のしかたは知らない状態ですのでそのまま中古品を買っても使えないと思っています.
そこでどなたか知っている方からノウハウを教えてもらおうと考えているわけですが,
ルーターのパスワードを解除する方法をひとに聞く,ということは,許されない行為にあたるのでしょうか?

ネットワークを専門に担当されている方々には,一般常識だと聞いていますので,ご経験者のかたがたに伺ってパスワード解除,中古品再生ができれば,と思っています.

(製品マニュアルを読めばわかる程度のことを他人に聞くのは,違法でないと思いますが,Cisco社のルータは,パスワード解除方法そのものを企業秘密にしているのでしょうか???)

Aベストアンサー

パスワードが入っているまま、オークションやジャンクに出すケースは普通は少ないと思いますが、パスワードを解除する方法はあります。これはパスワードを忘れてしまった場合に使う方法ですが、これを利用してコンフィグレーションレジスタをリセットすれば、再度工場出荷状態にまで戻すことができます。

方法は以下に示します。

参考URL:http://www.cisco.com/japanese/warp/public/3/jp/service/info/faq/c1003PasswdRecovery.html

QCiscoルータバックアップしたコンフィグ

Ciscoルータのstartup-configをハイパーターミナルの テキストのキャプチャ で取得してPCに保存してあります。
このテキスト形式で保存してあるstartup-configを別のCiscoルータに 一気に貼り付けることが出来るのでしょうか? 一行一行コピー&ペーストではなく、すべての行を一気に貼り付けです。
出来るらしいのですが、実際には失敗して苦心しているところを見たことがあるだけで本当に出来るのかが分かりません。
出来るのであれば、その方法をお聞かせください。

Aベストアンサー

いつもやってますよ。
コマンドに関係ないところを省いて(削除し)
'enable'
'configure terminal'
を先頭に追加しておくと何も考えず出荷時状態のルータに流し込むことが出来ます。
ちなみにCISCOルータはinterfaceの設定をしても初期ではshutdown状態なので必要に応じ
'no shutdown'を追加しておくと良いと思います。
また一気に流すとコンソールからのデータが化けることもあるのでハイパーターミナルではよくわかりませんが
よく使用しているTeraTermでは文字送りや改行の時にわざとdelayをかけて
文字化けしないようにすることもあります。

参考URL:http://hp.vector.co.jp/authors/VA002416/

Qciscoルータのaccess-listについて

192.9.211.0/24のネットワークから192.9.214.0/24に
telnet/pingできるようにしています。
最初はtelnet/pingできるのですが、途中から
できなくなります。192.9.211.0からはFR網の
手前までアクセスできるのですがFR網の先はアクセス
できなくなります。
access-listは問題ないと思うのですが、なぜ
こうなるのでしょうか。おしえてください。

show confの抜粋です。
router#show conf
!
version 12.2
!
enable password admin
username admin password 0 admin
ip subnet-zero
!
isdn switch-type ntt
isdn leased-line BRI0 128
!
interface Ethernet0
ip address 192.9.214.253 255.255.255.0
!
interface BRI0
no ip address
encapsulation frame-relay
no arp frame-relay
!
interface BRI0.1 point-to-point
ip address 192.168.1.1 255.255.255.0
ip access-group 106 in
no arp frame-relay
frame-relay interface-dlci 31
!
interface BRI0.2 point-to-point
ip address 192.168.2.1 255.255.255.0
ip access-group 104 in
no arp frame-relay
frame-relay interface-dlci 30
!
router rip
version 2
network 192.9.214.0
network 192.168.1.0
network 192.168.2.0
ip classless
!
access-list 104 permit icmp 192.9.217.0 0.0.0.255 192.9.214.0 0.0.0.255
access-list 104 permit tcp 192.9.217.0 0.0.0.255 192.9.214.0 0.0.0.255 eq telnet
access-list 104 permit tcp 192.9.217.0 0.0.0.255 192.9.214.0 0.0.0.255 established
access-list 106 permit icmp 192.9.211.0 0.0.0.255 192.9.214.0 0.0.0.255
access-list 106 permit tcp 192.9.211.0 0.0.0.255 192.9.214.0 0.0.0.255 eq telnet
access-list 106 permit tcp 192.9.211.0 0.0.0.255 192.9.214.0 0.0.0.255 established
!
line vty 0 4
login local
!
end

192.9.211.0/24のネットワークから192.9.214.0/24に
telnet/pingできるようにしています。
最初はtelnet/pingできるのですが、途中から
できなくなります。192.9.211.0からはFR網の
手前までアクセスできるのですがFR網の先はアクセス
できなくなります。
access-listは問題ないと思うのですが、なぜ
こうなるのでしょうか。おしえてください。

show confの抜粋です。
router#show conf
!
version 12.2
!
enable password admin
username admin password 0 admin
ip subnet-zero
!
isdn switch...続きを読む

Aベストアンサー

再度#3です。

もしかするとアクセスリストをINに指定しているので、
RIPのアップデートが切られている可能性があります。

解決策は、
・今のアクセスリスト(104、106)に
access-list 104 permit udp any any eq rip
access-list 106 permit udp any any eq rip
を加えてみる。
・もう一つは104と106のアクセスリストを一つにまとめて、
イーサのポートにアウト指定します。

どちらにしても今のままではRIPのコンバージェンスが切られているっぽいので、
変更する必要があると感じます。

ちなみにRIPのポート番号はUDP/520だと思いますが、
詳しいことはよくわかりません。


このQ&Aを見た人がよく見るQ&A

このカテゴリの人気Q&Aランキング

おすすめ情報