Access Control List
(ACL; アクセス コントロール リスト)
トラフィックフィルタリング
・IPアドレス
・プロトコル(ポート番号)
アクセスリストは3種類
・スタンダード(標準)ACL:IPアドレス
・エクステンデッド(拡張)ACL:IPアドレス、プロトコル(ポート番号)
・ネームド(名前付き)ACL(標準ACLや拡張ACLに名前をつけただけ)
アクセスリストは複数条件定義可能
ただし、チェックする順番があるので注意
⇒優先されることからつけていく
上から処理され、対象が見つかったら以降下は見ない
ACL の最後のステートメントは常に暗黙の拒否です。物理的には存在しなくても、このステートメントは ACL の終わりに自動的に挿入されます。暗黙の拒否は、全トラフィックをブロックします。この機能は、不要なトラフィックが不慮に入ってこないようにします。
⇒必ずpermitをいれておく
アクセスリストには
・インバウンド(入ってくるパケットの処理)
・アウトバウンド(出ていくパケットの処理)
8.3.3 標準ACL
・標準 IP ACL は、1 から 99 および 1300 から 1999 の範囲の番号を持ちます。
・標準アクセスリストは宛先の近くに設定
⇒IPアドレスで制御されるので、ブロックされる可能性が大きい(止めたいサービスだけをとめれなくなる,他方向へのルーティングもできなくなる)
設定方法
1.ACL作成
(config)# access-list 番号 [deny|permit] 送信元IP 送信元ワイルドカードマスク
(必要なだけ、優先されるものから設定)
(最後に暗黙のdenyがあるので、必ずpermitをいれる)
2.ACL設置
(config)#interface fastethernet 0/0
(config-if)#ip access-group 5(access-list number) in(またはout)
8.3.4 拡張ACL
エクステンデッド(拡張)ACL は、100 から 199 および 2000 から 2699 の範囲のアクセスリスト番号を使います。
(config)# access-list 番号 permit|deny プロトコル(tcp|udp|icmp) 送信元IP 宛先IP 一致条件
8.3.5 名前付きACL
[作成]
(config)#ip access-list {standard | extended} name(自分でつける)
(config-std-nacl)#
(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any
[設置]
(config-if)#ip access-group name {in|out}
8.3.6 VTYアクセスの設定
[作成]
標準ACLを作成
[設置]
インターフェースに設置するわけではない。
ルータへの接続の許可、不許可⇒「in」
(config)# line vty 0 4
(config-line)#access-class 番号 in
8.3.4 NAT PAT
NAT:内部アドレス⇔外部アドレスが1:1
PAT:内部アドレス⇔外部アドレスが多:1(ポート番号を利用)
[PATの設定]
1.内部IPアドレスの定義
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
2.PATを設定
R1(config)#ip nat inside source list 1 interface s0/0/0 overload
s0/0/0のIPアドレス+ランダムなポート番号で内部IPアドレスを変換
3.PATを設置
R1(config)#interface fastethernet 0/0
R1(config-if)#ip nat inside
R1(config-if)#exit
R1(config)#interface serial 0/0/0
R1(config-if)#ip nat outside
0 件のコメント:
コメントを投稿