CiscoのACLで片方向のみ通信を許可するestablishedの設定を試す

 22, 2010 19:31
内向きの通信を許可し、外からの通信を拒否して欲しいとの依頼がありました。

ACLでestablishedを使えば可能というのは知っていたのですが、試したことが無かったので念のためテスト環境を作り、問題なく動作するか検証する事にしました。
■ルータのコンフィグ
interface FastEthernet0
ip address 10.1.1.1 255.255.255.0
!
interface FastEthernet1
ip address 172.16.1.1 255.255.255.0
!
interface FastEthernet2
!
interface Vlan1
ip address 192.168.254.1 255.255.255.0

構成図

まずFe0とFe1にPC、Fe2にCatalystを接続。
PC間で共有フォルダへのアクセス、FTP、pingが両方から通ることを確認。
またCatalsytへのpingも両方共通ることを確認。

使えるPCが2台しか無かったので、Catalsytで代用しています…


・ACLの設定を追加
interface FastEthernet0
ip access-group 100 in
!
access-list 100 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 established


・結果
Fe0の端末からFe1の端末への共有フォルダへのアクセス、FTP、pingが不可、Catalsytへのping不可
Fe1の端末からFe0の端末への共有フォルダへのアクセス、FTPが可、ping不可、Catalsytへのping可

これでFe0から外への通信が不可となり、外からの通信のみが可となっていることを確認できました。


おまけ
・Fe0からCatalsytへの通信を可能になるように設定を追加
access-list 100 permit ip 10.1.1.0 0.0.0.255 192.168.254.0 0.0.0.255


・結果
Fe0の端末からCatalsytへのping可。
それ以外は状況変わらず。


想定したとおり動作するので、establishedについては問題ないですね。

COMMENT 1

supersense  2015, 04. 17 [Fri] 23:05

ACL事例

access-list 100 permit icmp any 172.16.1.0 0.0.0.255 echo-reply
access-list 100 permit icmp any 172.16.1.0 0.0.0.255 time-exceeded
access-list 100 permit icmp any 172.16.1.0 0.0.0.255 unreachable
access-list 100 permit tcp any 172.16.1.0 0.0.0.255 established
access-list 100 permit tcp any eq ftp-data 172.16.1.0 0.0.0.255
access-list 100 permit udp any 172.16.1.0 0.0.0 255 range 33435 33524

このようにすると、内 → 外の ping 応答、traceroute の応答(30hopまで)、PASV モードでない ftp の双方向セッションも張れるようになります。
外 → 内の特定のサーバーへ ping のみ問い合わせを許可したければ下記で行けます。
access-list 100 permit icmp any host 172.16.1.11(仮) echo



あと、内から外に変なものを漏らさないように、下記のような ACL を出口にお約束で掛けています。

interface FastEthernet0
ip access-group 102 out

access-list 102 deny udp any any range bootps tftp
access-list 102 deny tcp any any eq sunrpc
access-list 102 deny udp any any eq sunrpc
access-list 102 deny tcp any any range 135 139
access-list 102 deny udp any any range netbios-ns netbios-dgm
access-list 102 deny udp any any range snmp snmptrap
access-list 102 deny tcp any any eq 177
access-list 102 deny udp any any eq syslog
access-list 102 permit ip 172.16.1.0 0.0.0.255 any

最後だけ any any にしないのは、ウィルス感染等でIP詐称した変なパケットを漏らさないため。

Edit | Reply | 


WHAT'S NEW?