![](http://oshiete.xgoo.jp/images/v2/pc/qa/question_title.png?5a7ff87)
非常に基本的なことですが、今まで勘違いしていたかもしれませんので質問させていただきます。以下の構成で
クライアントA----e0|ルータ|e1-------クライアントC
192.168.1.10 192.168.2.10
クライアントB
192.168.1.11
e0の設定
ip address 192.268.1.1
e1の設定
ip address 192.168.2.1
access-group 100 out
アクセスリストの設定
accesslist 100 permit host 192.168.1.10 host 192.168.2.10
とした場合
・クライアントA(発呼)はクライアントCにアクセスできる
・クライアントB(発呼)はクライアントCにアクセスできない
・クライアントC(発呼)はクライアントAにアクセスできる
・クライアントC(発呼)はクライアントBにアクセスできる
となると思っていたのですが間違ってます?
実際の動作は
・クライアントA(発呼)はクライアントCにアクセスできる
・クライアントB(発呼)はクライアントCにアクセスできない
・クライアントC(発呼)はクライアントAにアクセスできる
・クライアントC(発呼)はクライアントBにアクセスできない <==ここがなぜこうなるか理解できません。
No.1ベストアンサー
- 回答日時:
「クライアントC(発呼)はクライアントBにアクセスできない」の回答です。
クライアントCで発生したパケットがクライアントBに届きます。
そして、クライアントBはクライアントCへパケット返そうとしますが、アクセスリストの条件により、e1のインターフェースからパケットが出ることが出来なくなるからです。
記述内のアクセスリストを訳すと、e1のインターフェースから出て行くパケットに制限を掛けます。その条件はクライアントAからクライアントCに対して出て行くパケットは通しますとなるので、クライアントBからのパケットはe1で捨てられてしまうからです。
この回答への補足
ご回答ありがとうございます。musimusiさんと同じことをほかの方からも聞いたことがありますが、なん
かしっくりきません。FW(NetScreen)の設定とかは何度もやったことがあるのですが、発呼に対する返
り(戻り)のパケットはわざわざ考えないでポリシーを作成すると思います。これってルータとFWの設定
の違いですか?また、今回の用件(片方向のみ通信許可)を満たすことはルータではできないのですか?
また、下記の設定の場合
クライアントA----e0|ルータ|e1-------クライアントC
192.168.1.10 192.168.2.10
クライアントB
192.168.1.11
e0の設定
ip address 192.268.1.1
access-group 100 in
e1の設定
ip address 192.168.2.1
アクセスリストの設定
accesslist 100 permit host 192.168.1.10 host 192.168.2.10
・クライアントA(発呼)はクライアントCにアクセスできる
・クライアントB(発呼)はクライアントCにアクセスできない
・クライアントC(発呼)はクライアントAにアクセスできる
・クライアントC(発呼)はクライアントBにアクセスできない
となると考えていいのでしょうか?質問ばかりで申し訳ございませんがご教授お願い致します。
No.4
- 回答日時:
昔、1つのインターフェースにIN/OUT2つのアクセスリストをつけることは不可能と聞いたことあったのですが、一応簡単にテストしてみたところ、1つのインターフェースにINとOUTを設定する事はできました。
正常な動作をするかどうかは不明ですが・・・
ちなみに、確認したルータのIOSバージョンは、12.2(10b)です。
ありがとうございます。WEBでしらべるとほとんど不可となっていましたが、一部OUT一つ、IN一つなら可能という情報もありました。たとえできたとしても、実際のところIN/OUTを設定してしまうと運用上煩雑になるので行わない方がいいと考えることにします。
ご丁寧なご回答ありがとうございました。
No.3
- 回答日時:
確かにこの場合ですと、アクセスリストでは無理になると思います。
しかし、特定のポートだけアクセスできれば良いとか、クライアントBからの特定ポートだけをe0で落とすなどの形を取れば、インチキですがアクセス不可と言う状況を作り出せると思います。
「クライアントBからの全てのパケットを落とす」と設定してしまうと、クライアントCへの折り返すが通らなくなってしまいますのでご注意ください。
例えば、e0の所に
access-group 100 in
access-list 100 deny tcp 192.168.1.11 192.168.2.10
eq 80
この様な形で、クライアントBからクライアントCへのWebの参照は出来なくなります。(クライアントCがWebサーバとした場合です)
ありがとうございます。なるほどって感じです。
セキュリティー上好ましくないですが、確かに可能ですね。おかげさまでルータに対する考え方がちょっと変わりました。(やっぱりセキュリティー考えるならFWですね)
ところで、最後にお聞きしたいのですが
ip address 192.168.2.1
access-group 100 out
access-group 101 in
のように、1つのインターフェイスにIN/OUT二つのアクセスリストをつけることは可能なんでしょうか?
No.2
- 回答日時:
基本的にFWとルータではアクセスリストは考え方が逆になると思いました。
そして、ルータのアクセスリストは戻りのパケットについては考えてくれません。(Ciscoの場合FWフューチャーセットを搭載した機種は考えてくれますが・・・)> また、今回の用件(片方向のみ通信許可)を満たすことはルータではできないのですか?
この端末からこの端末へのパケットは通すとすれば可能です。
そして、e0にアクセスリストをinで設定した回答は、その様に動作します。
正確な考え方としては「クライアントC(発呼)はクライアントBにアクセスできない」ではなく、「アクセスはしているが戻りのパケットが来ない」と考えた方が宜しいかと思います。セキュリティ対策等でこの様な設定をする事がありますが、アクセスできてる状態では対策となりません。
この回答への補足
ご回答ありがとうございます。
片方向の許可、拒否をすると結果として双方向の通信に反映されるということですね。そうだとしたらやはり片方向のみの通信許可はできないのでは?下記の用件を満たすconfigはどのようになるのでしょう?
・クライアントA(発呼)はクライアントCにアクセスできる
・クライアントB(発呼)はクライアントCにアクセスできない
・クライアントC(発呼)はクライアントAにアクセスできる
・クライアントC(発呼)はクライアントBにアクセスできる
このような設定はあまりしないかもしれませんが、気になって・・・。よろしくお願いいたします。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- ネットワーク 社内ネットワークの1台だけ接続できないときがある 4 2023/01/25 11:58
- ネットワーク 自分のPC(ローカル環境)から,Webページにアクセスする過程についての質問です。 1 2023/03/19 23:00
- ネットワーク ネットワーク上からファイルアクセスするとホストのファイルも開くわけない認識の件 4 2023/06/02 23:50
- 個人事業主・自営業・フリーランス クラウドワークスとランサーズ、両方ご利用の方、源泉徴収について教えてください。 2 2022/04/27 16:13
- サーバー FTPサーバについて詳しい方(アクセス権のないディレクトリを非表示にする方法) 4 2022/08/22 22:33
- その他(税金) フリーランスの源泉徴収税について教えてください 3 2022/04/27 14:46
- サーバー (童顔♀です)webサイト納品後,記事更新をこちらでする場合どうやりますか....? 3 2023/08/09 04:44
- その他(ビジネス・キャリア) お世話になります、の使い方について 4 2022/12/20 15:55
- 貨物自動車・業務用車両 運転業務で一番メンタルにキツイのは重機積むトレーラーだと思いますがどうでしょうかね? 3 2022/08/05 13:58
- 確定申告 フリーランスの源泉徴収について 6 2022/09/22 17:49
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
Proxy Errorってどう対処したら...
-
「marunouchi.tokyo.ocn.ne.jp...
-
MACアドレスがいくつも出てくる...
-
例えば、Yahoo!Japanトップペ...
-
IPアドレス(数列)だけでWEBサ...
-
PC閲覧不可の携帯サイトを見る...
-
あるHPにアクセスできない
-
ホームページを何度もリロード...
-
javaのDBアクセス(基幹系レベ...
-
大学で 利用ログはすべて記録さ...
-
ブログでアクセス数が多く儲か...
-
wi-fiのアクセス先について
-
パラメータが不足しています ...
-
win11 共有と保護
-
共有アクセス許可のEveryoneに...
-
Power User と Administrator ...
-
会社で禁止されているWEBページ...
-
「プロキシサーバーをバイパス...
-
Tera Termが接続できない
-
中小企業や10人程度のサーバー...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
Proxy Errorってどう対処したら...
-
IPアドレス(数列)だけでWEBサ...
-
大学で 利用ログはすべて記録さ...
-
例えば、Yahoo!Japanトップペ...
-
19インチラック設置について
-
「marunouchi.tokyo.ocn.ne.jp...
-
ホームページを何度もリロード...
-
グローバルIPアドレス指定のWeb...
-
javaのDBアクセス(基幹系レベ...
-
至急教えてください! このサイ...
-
プロキシサーバとDNSキャッシュ...
-
携帯ショップ定員が氏名と電話...
-
アマゾンからの不正アクセス? ...
-
前職(個人クリニック)のWebサイ...
-
基本認証のIDとパスワードがサ...
-
Baiduspiderとは?
-
今まで4Gで問題なく使えていま...
-
アダルトサイトの閲覧
-
特定のサイトにアクセスできない。
-
固定IPアドレスにアクセスする...
おすすめ情報