Ciscoのアクセスリスト

非常に基本的なことですが、今まで勘違いしていたかもしれませんので質問させていただきます。以下の構成で



クライアントA----e0|ルータ|e1-------クライアントC
192.168.1.10 　　　　　　　　　　　　　　　　　192.168.2.10
クライアントB
192.168.1.11


e0の設定
ip address 192.268.1.1

e1の設定
ip address 192.168.2.1
access-group 100 out

アクセスリストの設定
accesslist 100 permit host 192.168.1.10 host 192.168.2.10

とした場合
・クライアントA（発呼）はクライアントCにアクセスできる
・クライアントB（発呼）はクライアントCにアクセスできない

・クライアントC（発呼）はクライアントAにアクセスできる
・クライアントC（発呼）はクライアントBにアクセスできる

となると思っていたのですが間違ってます？

実際の動作は

・クライアントA（発呼）はクライアントCにアクセスできる
・クライアントB（発呼）はクライアントCにアクセスできない

・クライアントC（発呼）はクライアントAにアクセスできる
・クライアントC（発呼）はクライアントBにアクセスできない　＜＝＝ここがなぜこうなるか理解できません。

No.1 ベストアンサー 回答者： musimusi 回答日時： 2003/04/02 19:55

「クライアントC（発呼）はクライアントBにアクセスできない」の回答です。

クライアントＣで発生したパケットがクライアントＢに届きます。
そして、クライアントＢはクライアントＣへパケット返そうとしますが、アクセスリストの条件により、ｅ１のインターフェースからパケットが出ることが出来なくなるからです。
記述内のアクセスリストを訳すと、ｅ１のインターフェースから出て行くパケットに制限を掛けます。その条件はクライアントＡからクライアントＣに対して出て行くパケットは通しますとなるので、クライアントＢからのパケットはｅ１で捨てられてしまうからです。

この回答への補足

ご回答ありがとうございます。musimusiさんと同じことをほかの方からも聞いたことがありますが、なん

かしっくりきません。FW（NetScreen）の設定とかは何度もやったことがあるのですが、発呼に対する返

り（戻り）のパケットはわざわざ考えないでポリシーを作成すると思います。これってルータとFWの設定

の違いですか？また、今回の用件(片方向のみ通信許可)を満たすことはルータではできないのですか？

また、下記の設定の場合

クライアントA----e0|ルータ|e1-------クライアントC
192.168.1.10 　　　　　　　　　　　　　　　　　192.168.2.10
クライアントB
192.168.1.11


e0の設定
ip address 192.268.1.1
access-group 100 in

e1の設定
ip address 192.168.2.1


アクセスリストの設定
accesslist 100 permit host 192.168.1.10 host 192.168.2.10

・クライアントA（発呼）はクライアントCにアクセスできる
・クライアントB（発呼）はクライアントCにアクセスできない

・クライアントC（発呼）はクライアントAにアクセスできる
・クライアントC（発呼）はクライアントBにアクセスできない　

となると考えていいのでしょうか？質問ばかりで申し訳ございませんがご教授お願い致します。

補足日時：2003/04/03 22:28

No.4 回答者： musimusi 回答日時： 2003/04/09 09:50

昔、１つのインターフェースにIN／OUT２つのアクセスリストをつけることは不可能と聞いたことあったのですが、一応簡単にテストしてみたところ、１つのインターフェースにＩＮとＯＵＴを設定する事はできました。

正常な動作をするかどうかは不明ですが・・・
ちなみに、確認したルータのＩＯＳバージョンは、１２．２（１０ｂ）です。

この回答へのお礼

ありがとうございます。WEBでしらべるとほとんど不可となっていましたが、一部OUT一つ、IN一つなら可能という情報もありました。たとえできたとしても、実際のところIN/OUTを設定してしまうと運用上煩雑になるので行わない方がいいと考えることにします。
ご丁寧なご回答ありがとうございました。

お礼日時：2003/04/09 18:44

No.3 回答者： musimusi 回答日時： 2003/04/08 15:59

確かにこの場合ですと、アクセスリストでは無理になると思います。

しかし、特定のポートだけアクセスできれば良いとか、クライアントＢからの特定ポートだけをｅ０で落とすなどの形を取れば、インチキですがアクセス不可と言う状況を作り出せると思います。
「クライアントＢからの全てのパケットを落とす」と設定してしまうと、クライアントＣへの折り返すが通らなくなってしまいますのでご注意ください。

例えば、ｅ０の所に
access-group 100 in

access-list 100 deny tcp 192.168.1.11 192.168.2.10
eq 80

この様な形で、クライアントＢからクライアントＣへのＷｅｂの参照は出来なくなります。（クライアントＣがＷｅｂサーバとした場合です）

この回答へのお礼

ありがとうございます。なるほどって感じです。
セキュリティー上好ましくないですが、確かに可能ですね。おかげさまでルータに対する考え方がちょっと変わりました。（やっぱりセキュリティー考えるならFWですね）
ところで、最後にお聞きしたいのですが

ip address 192.168.2.1
access-group 100 out
access-group 101 in

のように、１つのインターフェイスにIN／OUT二つのアクセスリストをつけることは可能なんでしょうか？

お礼日時：2003/04/09 00:50

No.2 回答者： musimusi 回答日時： 2003/04/07 09:59

基本的にＦＷとルータではアクセスリストは考え方が逆になると思いました。

そして、ルータのアクセスリストは戻りのパケットについては考えてくれません。（Ｃｉｓｃｏの場合ＦＷフューチャーセットを搭載した機種は考えてくれますが・・・）

> また、今回の用件(片方向のみ通信許可)を満たすことはルータではできないのですか？
　この端末からこの端末へのパケットは通すとすれば可能です。

そして、e0にアクセスリストをｉｎで設定した回答は、その様に動作します。
正確な考え方としては「クライアントC（発呼）はクライアントBにアクセスできない」ではなく、「アクセスはしているが戻りのパケットが来ない」と考えた方が宜しいかと思います。セキュリティ対策等でこの様な設定をする事がありますが、アクセスできてる状態では対策となりません。

　

この回答への補足

ご回答ありがとうございます。
片方向の許可、拒否をすると結果として双方向の通信に反映されるということですね。そうだとしたらやはり片方向のみの通信許可はできないのでは？下記の用件を満たすconfigはどのようになるのでしょう？
・クライアントA（発呼）はクライアントCにアクセスできる
・クライアントB（発呼）はクライアントCにアクセスできない

・クライアントC（発呼）はクライアントAにアクセスできる
・クライアントC（発呼）はクライアントBにアクセスできる

このような設定はあまりしないかもしれませんが、気になって・・・。よろしくお願いいたします。

補足日時：2003/04/07 23:49