cisco アクセスリスト

現在cisco1600シリーズのルータを使い
アクセスリストの設定を行っています。

機材
・PC１（192.168.0.1）
・PC２（10.0.0.1）
・ルータ

条件
１、pc1-pc2　FTPのみ許可
２、pc2-pc1　pingのみ許可
３、上位機以外すべて禁止


(config)access-list 100 permit tcp host 192.168.0.1 host 10.0.0.1 eq 21
(config)access-list 100 permit icmp host 10.0.0.1 host 192.168.0.1　echo
(config-if)ip access-group 100 in


上記で大丈夫でしょうか？

その他質問なのですが、

１．アクセスグループを消すときは
no ip access-group　100　in
でいいのでしょうか。最後がoutになった場合はどうなるのでしょうか

２、pingのみ許可する場合はICMPのオプションのechoとecho reply
はどちらにしたらいいのでしょうか

３、上記のように設定すれば、最後の三番目の条件の残りすべて禁止
は暗黙のdenyですべて禁止という設定になるのでしょうか？


まだ実際に検証ができないため、よろしくお願いいたします。

No.2 ベストアンサー 回答者： wellow 回答日時： 2012/04/19 22:11

＞(config)access-list 100 permit tcp host 192.168.0.1 host 10.0.0.1 eq 21

ACL#100で、PC1からPC2へFTP-COMを通しているようですね。
FTP-DATA（TCP/20）は通さないんですね。これじゃファイル転送はできないですね。pasive-ftpを想定してるのかな、でもdefault denyで落ちるとは思いますけど。

悪魔の囁きと捕らえて頂いて結構ですけど、permit tcp any any establishedという手もあります。tcpの戻りパケットにはSYN/ACKビットが立っているんでそれは通すっていうACLです。
内から外は何でもOK、外から内は、内からリクエストされたもんだけ通す、なんてときに使います。分って使っている分には無駄なACLを書かないで済むという利点がありますが、分らないで適用すればザルを作ることになります。これが「悪魔の囁きと捕らえて頂いて結構」とい理由です。正確には「素人さんには悪魔の囁きと捕らえて頂いて結構」という意味です。

＞(config)access-list 100 permit icmp host 10.0.0.1 host 192.168.0.1　echo

ACL#100でPC2からPC1へのICMP echoを通す、と。

＞(config-if)ip access-group 100 in

このACL#100のinはどこのインタフェースに適用するんですかね。あなたの説明とACLを見ると、10.0.0.1と192.168.0.1は同じインタフェースの先にいて、そのインタフェースにはセカンダリIPが設定されていて、ルータでローカルルーティングされる。その際にACLがヒットする、ていう前提なんでしょうか。

+--------+ 10.0.0.0/?
| router ○-----------------------------
+--------+ 192.168.0./?

という感じ。

＞１．アクセスグループを消すときは
＞no ip access-group　100　in
＞でいいのでしょうか。最後がoutになった場合はどうなるのでしょうか

そうです。outでも同じ。でも書かれたACLを見る限り、in側適用を意図しているようけどね。
ちなみにACL#100を消すときには、no ip accesss-list 100です。

＞２、pingのみ許可する場合はICMPのオプションのechoとecho reply
はどちらにしたらいいのでしょうか

echoは許可されたリクエスト側、echo replyは許可された応答側。
そもそもどういう構成であるかの説明がないんで、上記のようにしか言えない。

＞３、上記のように設定すれば、最後の三番目の条件の残りすべて禁止は暗黙のdenyですべて禁止という設定になるのでしょうか？

はい。defaultがどうなるかは意識して置いてください。ciscoはdefault deny、extremeはdefault permitです。

この回答へのお礼

permit tcp any any established…ちょっとあとで詳しく調べてみます！

こんな穴だらけの質問に答えていただいてありがとうございます。
お礼が遅くなり申し訳ございません。


ここに書いてあることを参考に自分なりに学習して
まだまだですが知識を身に着けることが出来ました。

ありがとうございました。

お礼日時：2012/06/09 11:16

No.3 回答者： wellow 回答日時： 2012/04/19 22:17

＞ACL#100で、PC1からPC2へFTP-COMを通しているようですね。

「ACL#100で、PC1からPC2へFTP-CMDを通しているようですね。」の誤りです。訂正します。

No.1 回答者： graniph2011 回答日時： 2012/04/19 20:51

勉強はしっかりされていらっしゃるみたいですが、まだ正しい設定を行えるようになるには知識と経験が足りないかもしれません。

＞上記で大丈夫でしょうか？

大丈夫ではないです。まず、FTPについて以下の情報が必要です。
・FTPサーバはどちらのPCか
・FTPモードは何を(パッシブorアクティブ)使用するか
それによって、設定するACLは変わります。
また、片方向のインターフェースにしかACLを設定しないのであれば、UDPで一方的に送りつけることは可能なので、「上記以外は禁止」とは厳密には言えないでしょう。

１→消すコマンドはそれでよいです。inとoutの違いは、ACLを適用する方向です。適用インターフェースに入ってくるパケットを見るか(in)、適用インターフェースを出て行くパケットを見るか(out)

２→一番最初の質問と重なりますが、適用するインターフェースが質問に記載されておりませんし、どのインターフェースにどのネットワークが所属しているのかも記載されておりませんので明確な回答は出来ません。

３→その通りです。暗黙のdenyを明示的に設定する場合もありますが、それは好みだったり要求仕様だったりで特に指定はありません。私個人の好みで言えばわざわざ明示的に書きません。

この回答へのお礼

返事が遅くなり申し訳ございません。

以前から多少自分なりに学習することで
多少理解することができました。

今見ると質問内容が穴だらけで…

参考にさせていただいて、無事解決することが出来ました。
ありがとうございました。

お礼日時：2012/06/09 11:14