1. No category

PDF

トランジット アクセス コントロール リスト: エッジでのフィ
ルタリング
目次
概要
トランジット フィルタ
典型的な設定
トランジット ACL のセクション
トランジット ACL の作成
必要なプロトコルの判別
不正なトラフィックの判別
ACL の適用
ACL の例
ACL と断片化パケット
リスク評価
付録
一般的に使用されるプロトコルとアプリケーション
配備のためのガイドライン
配備例
関連情報
概要
この文書では、使用しているネットワークの入り口での通過トラフィックとエッジ トラフィックのフィルタリングについて、ガ
イドラインと推奨する配備方法を説明します。 トランジット access control list(ACL; アクセス コントロール リスト)は、
ネットワークに必要なトラフィックだけを明示的に許可することで、ネットワークのセキュリティを高めるために使用されます。
トランジット フィルタ
典型的な設定
インターネットへの接続点を持つ一般的な企業ネットワークなど、多くのエッジ ネットワーク環境では、承認されていないトラ
フィックをネットワークのエッジで廃棄するために、入力フィルタリングを使用する必要があります。 あるサービス プロバイダ
での配備例では、この形式によるエッジ トラフィックまたは通過トラフィックのフィルタリングを使用して、顧客との間の通過
トラフィックの流れを特定の許可されたプロトコルに制限することを効率的に行っています。 この文書では、企業への配備モデ
ルに焦点を絞って説明します。
次の図では、一般的な企業におけるインターネットの接続形態を示しています。 2 台のエッジ ルータ、IR1 と IR2 が、インタ
ーネットに直接接続しています。 これら 2 台のルータの背後では、1 対のファイアウォール(この例では Cisco PIX)によっ
て、ステートフルなチェックが行われ、内部ネットワークと demilitarized zone(DMZ; 非武装地帯)の両方にアクセスできるよ
うになっています。 DMZ には、DNS や Web などの一般向けのサービスが配置されており、外部のインターネットから直接アクセ
スできる唯一のネットワークです。 内部ネットワークはインターネットから直接アクセスすることはできませんが、内部ネット
ワークを発信元とするトラフィックは、インターネット上のサイトへ到達することが可能です。
エッジ ルータは、着信 ACL を使用して、セキュリティの第一段階を構築できるよう設定されている必要があります。 この ACL
では、DMZ 宛ての特別に許可されたトラフィックだけを許可します。また、インターネットへアクセスしている内部ユーザに返さ
れるリターン トラフィックも許可します。 承認されていないトラフィックは、すべて着信インターフェイスで廃棄されます。
トランジット ACL のセクション
通常、トランジット ACL は、次の 4 つのセクションで構成されます。
特定用途のアドレスとアンチスプーフィングのエントリ。不正な発信元またはパケットが、使用しているネットワークに属
する発信元アドレスを使用して外部ソースからネットワーク内に入ることを拒否します。
注: RFC 1918 では、インターネット上で無効とする発信元アドレスを予約アドレスとして定義しています。 RFC 3330 で
は、フィルタリングが必要となる可能性のある特定用途アドレスを定義しています。 RFC 2827 では、アンチスプーフィン
グのガイドラインが提供されています。
インターネットにアクセスしている内部接続へのリターン トラフィックの明示的な許可
保護されている内部アドレスを宛先とする外部ソースからのトラフィックを明示的に許可
明示的な deny 文
注:すべての ACL には暗黙的な deny 文が含まれていますが、シスコでは deny 文を明示的に使用することを推奨していま
す(たとえば deny ip any any)。 ほとんどのプラットフォームでは、このような文によって、拒否されたパケットの数が
記録され、show access-list コマンドで表示することができます。
トランジット ACL の作成
トランジット ACL を作成する最初のステップは、使用しているネットワークで必要なプロトコルを判別することです。 各サイト
ごとに特別な要件がありますが、プロトコルとアプリケーションの中には広く使用されていて、ほとんどの場合において許可され
るものがあります。 たとえば、DMZ セグメントで一般的にアクセス可能な Web サーバへの接続を提供する場合は、ポート 80 で
のインターネットから DMZ のサーバ アドレスへの TCP が必要になります。 同様に、内部からインターネットへの接続に対して
は、ACL で「確立された(established)」TCP のリターン トラフィックを許可する必要があります。このトラフィックでは、
acknowledgment(ACK)ビットが設定されています。
必要なプロトコルの判別
必要なプロトコルのリストの作成は、大変な作業になることがありますが、必要なトラフィックの判別に役立つテクニックがいく
つかあり、必要に応じて使用できます。
ローカルのセキュリティ ポリシーとサービス ポリシーの検討。
ローカル サイトのポリシーは、サービスの許可および拒否の基準の決定に役立ちます。
ファイアウォール設定の検討および監査。
現在のファイアウォール設定には、許可するサービスに対する明示的な permit 文が含まれている必要があります。 多くの
場合は、この設定を ACL の形式に変換して、ACL エントリの大部分の作成に使用できます。
注:ステートフルなファイアウォールでは、承認されている接続へのリターン トラフィックに対しては、通常は明示的なル
ールを定義していません。 ルータ ACL はステートフルではないため、リターン トラフィックは明示的に許可する必要があ
ります。
使用するアプリケーションの検討および監査。
DMZ 内でホストされるアプリケーションと、内部的に使用されるアプリケーションは、フィルタリング要求の判別に役立ち
ます。 アプリケーションの要件を詳しく調べることで、フィルタリングの設計に関する重要な詳細事項が分かります。
分類 ACLの使用。
分類 ACLは、内部ネットワーク宛てに使用される可能性のある各種のプロトコルに対する permit 文で構成されます (一般
的に使用されるプロトコルとアプリケーションのリストを確認してください)。 access control entry(ACE; アクセス コ
ントロール エントリ)のヒット数を表示する show access-list コマンドを使用すると、必要なプロトコルを判別できま
す。 疑わしい、あるいは、予期しない結果が出た場合は、予想外のプロトコルへの明示的な permit 文を作成してくださ
い。
Netflow スイッチング機能の使用。
Netflow は、有効にした場合に詳細なフロー情報を提供するスイッチング機能です。 エッジ ルータ上で Netflow が有効に
なっているときに、show ip cache flow コマンドを使用すると、Netflow によって記録されたプロトコルの一覧が表示され
ます。 Netflow ですべてのプロトコルを識別することはできません。そのため、この機能は他の機能と組み合わせて使用す
る必要があります。
不正なトラフィックの判別
トランジット ACL は、直接的な保護の他に、インターネット上のあるタイプの不正トラフィックに対する防御の第一線として機
能します。
RFC 1918 空間を拒否。
RFC 3330 で定義されているような特殊用途のアドレス空間の範疇にある発信元アドレスを持つパケットを拒否。
アンチスプーフィング フィルタ(RFC 2827 に準拠)を適用。使用するアドレス空間が、使用している autonomous
system(AS; 自律システム)の外部からのパケットの発信元になることは、絶対にありません。
考慮する必要があるその他のタイプのトラフィックには、次のものがあります。
エッジ ルータとの通信に必要な外部プロトコルと IP アドレス
サービス プロバイダの IP アドレスからの ICMP
ルーティング プロトコル
IPSec VPN(エッジ ルータが終端として使用されている場合)
インターネットにアクセスしている内部接続へのリターン トラフィックの明示的な許可
特定のインターネット制御メッセージ プロトコル(ICMP)のタイプ
発信用ドメイン ネーム システム(DNS)クエリーの応答
TCP established
ユーザ データグラム プロトコル(UDP)リターン トラフィック
FTP データ接続
TFTP データ接続
マルチメディア接続
保護されている内部アドレスを宛先とする外部ソースからのトラフィックを明示的に許可
VPN トラフィック
Internet Security Association and Key Management Protocol(SAKMP)
ネットワーク アドレス変換(NAT)Traversal
専用のカプセル化方法
Encapsulating Security Payload(ESP)
認証ヘッダー(AH)
Web サーバに対する HTTP
Web サーバに対するセキュア ソケット レイヤ(SSL)
FTP サーバに対する FTP
受信用 FTP データ接続
受信用 FTP パッシブ(pasv)データ接続
シンプル メール転送プロトコル(SNMP)
その他のアプリケーションとサーバ
着信用 DNS クエリー
着信用 DNS ゾーン転送
ACL の適用
この新しく構築された ACL は、エッジ ルータのインターネット向けインターフェイスへの着信に適用する必要があります。 先
の図の例では、ACL は IR1 と IR2 のインターネット向けインターフェイスに「in」で適用します。
詳細については、「配備のためのガイドライン」および「配備例」のセクションを参照してください。
ACL の例
次のアクセス リストでは、トランジット ACL で必要な一般的なエントリの実際的な例を示しています。 この基本的な ACL は、
サイト特有の設定事項を反映するようにカスタマイズする必要があります。
!--- アンチスプーフィング エントリを追加します。
!--- 特定用途のアドレス ソースを拒否します。
!--- 他の特定用途のアドレスについては、RFC 3330 を参照してください。
access-list
access-list
access-list
access-list
110
110
110
110
deny
deny
deny
deny
ip
ip
ip
ip
127.0.0.0 0.255.255.255 any
192.0.2.0 0.0.0.255 any
224.0.0.0 31.255.255.255 any
host 255.255.255.255 any
!--- 次の deny 文は、ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)
!--- リレーには設定しないようにしてください。
access-list 110 deny ip host 0.0.0.0 any
!--- RFC 1918 空間をフィルタリングします。
access-list 110 deny ip 10.0.0.0 0.255.255.255 any
access-list 110 deny ip 172.16.0.0 0.15.255.255 any
access-list 110 deny ip 192.168.0.0 0.0.255.255 any
!--- エッジ ルータに対してボーダー ゲートウェイ プロトコル(BGP)を許可します。
access-list 110 permit tcp host bgp_peer gt 1023 host router_ip eq bgp
access-list 110 permit tcp host bgp_peer eq bgp host router_ip gt 1023
!--- 自身の空間が、発信元になっているトラフィックを拒否します(RFC 2827 に準拠)。
access-list 110 deny ip your Internet-routable subnet any
!--- リターン トラフィックを明示的に許可します。
!--- 特定の ICMP タイプを許可します。
access-list
access-list
access-list
access-list
110
110
110
110
permit
permit
permit
deny
icmp
icmp
icmp
icmp
any
any
any
any
any echo-reply
any unreachable
any time-exceeded
any
!--- 発信 DNS クエリーは次のとおりです。
access-list 110 permit udp any eq 53
host primary DNS server gt 1023
!--- 古い DNS クエリーを許可し、プライマリ DNS サーバに応答します。
access-list 110 permit udp any eq 53
host primary DNS server eq 53
!--- 正当なビジネス用トラフィックを許可します。
access-list 110 permit tcp any Internet-routable subnet established
access-list 110 permit udp any range 1 1023 Internet-routable subnet gt 1023
!--- ftp データ接続を許可します。
access-list 110 permit tcp any eq 20 Internet-routable subnet gt 1023
!--- tftp データ接続およびマルチメディア接続を許可します。
access-list 110 permit udp any gt 1023 Internet-routable subnet gt 1023
!--- Explicitly permit externally sourced traffic.
!--- 着信 DNS クエリーは次のとおりです。
access-list 110 permit udp any gt 1023 host <primary DNS server> eq 53
!-- プライマリ DNS サーバへの DNS クエリーのゾーン転送は次のとおりです。
access-list 110 permit tcp host secondary DNS server gt 1023 host primary DNS server eq 53
!--- 古い DNS ゾーン転送を許可します。
access-list 110 permit tcp host secondary DNS server eq 53
host primary DNS server eq 53
! --- 他のすべての DNS トラフィックを拒否します。
access-list 110 deny udp any any eq 53
access-list 110 deny tcp any any eq 53
! --- IPSec VPN トラフィックを許可します。
access-list
access-list
access-list
access-list
access-list
110
110
110
110
110
permit
permit
permit
permit
deny
udp any host IPSec headend device eq 500
udp any host IPSec headend device eq 4500
50 any host IPSec headend device
51 any host IPSec headend device
ip any host IPSec headend device
!--- インターネットを発信元とする一般アクセスが可能な
!--- サーバへの接続は次のとおりです。
access-list 110 permit tcp any host public web server eq 80
access-list 110 permit tcp any host public web server eq 443
access-list 110 permit tcp any host public FTP server eq 21
!--- FTP サーバへのデータ接続は、
!--- permit established ACE によって許可されています。
!--- FTP サーバに対する PASV データ接続を許可します。
access-list 110 permit tcp any gt 1023 host public FTP server gt 1023
access-list 110 permit tcp any host public SMTP server eq 25
! --- 他のすべてのトラフィックを明示的に拒否します。
access-list 101 deny ip any any
注:トランジット ACLを適用する際には、次の推奨事項に留意するようにしてください。
キーワード log は、あるプロトコルの発信元と宛先に関する詳細を表示するために使用できます。 このキーワードは、
ACL のヒットに関する詳細を詳しく表示でき、有用ですが、log キーワードを使用した ACL エントリへのヒットを過剰に行
うと、CPU の利用率が上がってしまいます。 ロギングに関連したパフォーマンスへの影響は、プラットフォームによって異
なります。
管理上の問題で ACL によって拒否されているパケットに対しては、ICMP unreachable メッセージが生成されます。 これは
ルータおよびリンクのパフォーマンスに影響を与えることがあります。 トランジット(エッジ)ACLを配備するインターフ
ェイスにおいては、no ip unreachables コマンドを使用して「IP unreachables」を無効にすることを考慮してください。
この ACL は、正当なビジネス用のトラフィックが否定されてしまわないように、すべて permit 文として配備することがで
きます。 正当なビジネス用のトラフィックを特定できたら、対象となる要素に対して deny 文を設定してください。
ACL と断片化パケット
ACL には、特別な断片化パケット処理動作を可能にするキーワード fragments があります。 一般的には、ACL の L3 文(プロト
コル、発信元アドレス、宛先アドレス)に一致する非先頭フラグメント(ACL 内の L4 情報とは無関係)は、一致するエントリの
permit 文または deny 文の影響を受けます。 キーワード fragments を使用すると、ACL に対して非先頭フラグメントの細かな
拒否または許可を強制することになることに注意してください。
フラグメントのフィルタリングによって、非先頭フラグメント(FO > 0 など)だけを使用する denial-of-service(DoS; サービ
ス拒否)攻撃に対して、新たな保護階層が加わります。 非先頭フラグメントに対して ACL の先頭で deny 文を使用すると、すべ
ての非先頭フラグメントのルータへの着信を拒否します。 特殊な環境下では、有効なセッションに断片化が必要とされ、そのた
めに ACL に deny fragment 文がある場合にフィルタされることがあります。 断片化が必要となる状況としては、ISAKMP 認証の
ためのデジタル認証を使用する場合は、IPSec NAT Traversal を使用する場合などがあります。
例として、次に示す部分的な ACL について考えます。
access-list 110 deny tcp any Internet routable subnet fragments
access-list 110 deny udp any Internet routable subnet fragments
access-list 110 deny icmp any Internet routable subnet fragments
<rest of ACL>
これらのエントリを ACL の先頭に追加すると、ネットワークに対するすべての非先頭フラグメントのアクセスが拒否されます
が、断片化されていないパケットまたは先頭フラグメントは、deny fragment 文の影響を受けずに ACL の次の行まで進みます。
上に示した ACL の部分は、ACL 内で UDP、TCP、ICMP などのプロトコルごとに別々にカウンタが増加するため、攻撃の分類に役
立ちます。
攻撃の多くは、断片化パケットによってフラッディングを起こすことに依存しているため、内部ネットワークに着信するフラグメ
ントをフィルタリングすることにより、ある程度の保護を追加し、単にトランジット ACL のレイヤ 3 ルールに一致させることだ
けでフラグメントを送信する攻撃ができないようにすることができます。
この方法の詳細な説明については、「アクセス コントロール リストと IP 断片化」を参照してください。
リスク評価
通過トラフィックを保護する ACL を配備する際には、次に示す主な 2 つのリスクについて考慮する必要があります。
適切な permit 文および deny 文が記述されていること。 ACL を効果的に使用するには、必要なプロトコルすべてを許可す
る必要があります。
ACL のパフォーマンスは、プラットフォームによって変化すること。 ACL を配備する前に、使用しているハードウェアのパ
フォーマンス特性について調べてください。
シスコでは、他の場合と同様に、実際に配備する前に実験的な環境でテストすることを推奨しています。
付録
一般的に使用されるプロトコルとアプリケーション
TCP のポート名
次に一覧する TCP ポート名は、Cisco IOS(R) ソフトウェアで ACL を設定するときに、ポート番号の代わりに使用できます。 こ
れらのプロトコルについての説明は、現在割り当てられている番号に関する RFC を参照してください。 また、これらのプロトコ
ルに対応するポート番号は、ACL の設定時にポート番号の代わりに ? を入力することで分かります。
bgp
kshell
chargen
login
cmd
lpd
daytime
nntp
discard
pim
domain
pop2
echo
pop3
exec
smtp
finger
sunrpc
ftp
syslog
ftp-data
tacacstalk
gopher
telnet
hostname
time
ident
uucp
irc
whois
klogin
www
UDP のポート名
次に一覧する UDP ポート名は、Cisco IOS(R) ソフトウェアで ACL を設定するときに、ポート番号の代わりに使用できます。 こ
れらのプロトコルについての説明は、現在割り当てられている番号に関する RFC を参照してください。 また、これらのプロトコ
ルに対応するポート番号は、ACL の設定時にポート番号の代わりに ? を入力することで分かります。
biff
ntp
bootpc
pim-auto-rp
bootps
rip
discard
snmp
dnsix
snmptrap
domain
sunrpc
echo
syslog
isakmp
tacacs
mobile-ip
talk
nameserver
tftp
netbios-dgm
time
netbios-ns
who
netbios-ss
xdmcp
配備のためのガイドライン
シスコでは、保守的な配備方法を推奨します。 トランジット ACLを正しく配備するには、必要なプロトコルについて正しく理解
していることが必要です。 以降のガイドラインでは、反復的な方法を使用して保護 ACL を配備する非常に保守的な方法について
説明します。
1. 分類 ACLを使用して、ネットワークで使用されているプロトコルを調べます。
ネットワークで使用される既知のプロトコルすべてを許可する ACL を配備します。 この「ディスカバリ」(または分
類)ACL では、発信元アドレスとして any 、また宛先の IP アドレスまたはインターネットにルーティング可能な IP サブ
ネット全体が指定されている必要があります。 最後のエントリで ip any any log を許可すると、許可が必要なその他のプ
ロトコルの判別に役立ちます。
目的は、ネットワーク上で使用されている必要なすべてのプロトコルを判別することです。 そのルータにおいて「何か」が
通信を行っているかどうかを判断するための分析には、ロギングを使用します。
注:キーワード log は、ACL のヒットに関する詳細を詳しく表示でき、有用ですが、このキーワードを使用してACL エント
リへのヒットを過剰に行うと、大量のログ エントリが生成され、CPU の使用率が高くなってしまう場合があります。 log
キーワードの使用は短時間にとどめ、トラフィックの分類に必要な場合にのみ使用するようにしてください。
すべてが permit 文である ACL が配備されている間は、ネットワークがリスクにさらされていることに注意してください。
分類処理をなるべく早く実行し、正しいアクセス制御を配備するようにしてください。
2. 判別したパケットをよく調べ、内部ネットワークへのアクセスのフィルタリングを開始します。
ステップ 1 で設定した ACL でフィルタされたパケットの識別と確認ができたら、分類 ACLを更新して、新たに識別したプ
ロトコルと IP アドレスを設定します。 アンチスプーフィングに関する ACL エントリを追加します。 必要に応じて、分類
ACLに permit 文に代えて deny 文のエントリを設定します。 また、show access-list コマンドを使用して、特定の deny
エントリを監視すると、ヒット カウントを調べることができます。 この方法では、ACL エントリのロギングを有効にしな
くても、禁止されているネットワーク アクセスの試行の詳細を調べることができます。 ACL の最後の行は、deny ip any
any とします。 この最後のエントリに対するヒット カウントを調べることにより、禁止されているアクセスの試行に関す
る情報を得ることができます。
3. ACL を監視し、更新します。
完成した ACL を監視して、必要なプロトコルで新しく導入したものが、制御項目に追加されていることを監視します。
ACL を監視することにより、禁止されているネットワーク アクセスの試行に関する情報を得ることもできます。このような
アクセスは、攻撃が差し迫っていることを示す場合があります。
配備例
次の例では、次のアドレスに基づいて、ネットワークを保護するトランジット ACL を示しています。
ISP のルータの IP アドレスは 10.1.1.1 です。
エッジ ルータのインターネット側の IP アドレスは 10.1.1.2 です。
インターネットにルーティング可能なサブネットは 192.168.201.0 255.255.255.0 です。
VPN ヘッドエンドは、192.168.201.100 です。
Web サーバのアドレスは 192.168.201.101 です。
FTP サーバのアドレスは 192.168.201.102 です。
SMTP サーバのアドレスは 192.168.201.103 です。
プライマリ DNS サーバのアドレスは 192.168.201.104 です。
セカンダリ DNS サーバのアドレスは 172.16.201.50 です。
以下に示すトランジット保護 ACL は、これらの情報を基にして作成されています。 この ACL では、ISP のルータへの eBGP ピ
アリングを許可し、アンチスプーフィング フィルタを備え、特定のリターン トラフィックと特定の着信トラフィックを許可し、
他のすべてのトラフィックを拒否します。
no access-list 110
!--- フェーズ 1 - アンチスプーフィング エントリを追加します。
!--- 特定用途のアドレス ソースを拒否します。
!--- 他の特定用途のアドレスについては、RFC 3330 を参照してください。
access-list
access-list
access-list
access-list
110
110
110
110
deny
deny
deny
deny
ip
ip
ip
ip
127.0.0.0 0.255.255.255 any
192.0.2.0 0.0.0.255 any
224.0.0.0 31.255.255.255 any
host 255.255.255.255 any
!--- 次の deny 文は、ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)
!--- リレーには設定しないようにしてください。
access-list 110 deny
ip host 0.0.0.0 any
!--- RFC 1918 空間をフィルタリングします。
access-list 110 deny
access-list 110 deny
access-list 110 deny
ip 10.0.0.0 0.255.255.255 any
ip 172.16.0.0 0.15.255.255 any
ip 192.168.0.0 0.0.255.255 any
!--- エッジ ルータに対する BGP を許可します。
access-list 110 permit tcp host 10.1.1.1 gt 1023 host 10.1.1.2 eq bgp
access-list 110 permit tcp host 10.1.1.1 eq bgp host 10.1.1.2 gt 1023
!--- 自身の空間が、発信元になっているトラフィックを拒否します(RFC 2827 に準拠)。
access-list 110 deny
ip 192.168.201.0 0.0.0.255 any
!--- フェーズ 2 - リターン トラフィックを明示的に許可します。
!--- 特定の ICMP タイプを許可します。
access-list
access-list
access-list
access-list
110
110
110
110
permit
permit
permit
deny
icmp
icmp
icmp
icmp
any
any
any
any
any echo-reply
any unreachable
any time-exceeded
any
!--- 発信 DNS クエリーは次のとおりです。
access-list 110 permit udp any eq domain host 192.168.201.104 gt 1023
!--- 古い DNS クエリーを許可し、プライマリ DNS サーバに応答します。
access-list 110 permit udp any eq domain host 192.168.201.104 eq domain
!--- 正当なビジネス用トラフィックを許可します。
access-list 110 permit tcp any 192.168.201.0 0.0.0.255 established
access-list 110 permit udp any range 1 1023 192.168.201.0 0.0.0.255 gt 1023
!--- FTP データ接続を許可します。
access-list 110 permit tcp any eq ftp-data 192.168.201.0 0.0.0.255 gt 1023
!--- TFTP データ接続およびマルチメディア接続を許可します。
access-list 110 permit udp any gt 1023 192.168.201.0 0.0.0.255 gt 1023
!--- フェーズ 3 - 外部を発信元とするトラフィックを明示的に許可します。
!--- 着信 DNS クエリーは次のとおりです。
access-list 110 permit udp any gt 1023 host 192.168.201.104 eq domain
!-- プライマリ DNS サーバへ DNS クエリーをゾーン転送します。
access-list 110 permit tcp host 172.16.201.50 gt 1023 host 192.168.201.104 eq domain
!--- 古い DNS ゾーン転送を許可します。
access-list 110 permit tcp host 172.16.201.50 eq domain host 192.168.201.104 eq domain
! --- 他のすべての DNS トラフィックを拒否します。
access-list 110 deny
access-list 110 deny
udp any any eq domain
tcp any any eq domain
! --- IPSec VPN トラフィックを許可します。
access-list
access-list
access-list
access-list
access-list
110
110
110
110
110
permit
permit
permit
permit
deny
udp any host 192.168.201.100 eq isakmp
udp any host 192.168.201.100 eq non500-isakmp
esp any host 192.168.201.100
ahp any host 192.168.201.100
ip any host 192.168.201.100
!--- インターネットを発信元とする一般アクセスが可能なサーバへの
!--- 接続は次のとおりです。
access-list 110 permit tcp any host 192.168.201.101 eq www
access-list 110 permit tcp any host 192.168.201.101 eq 443
access-list 110 permit tcp any host 192.168.201.102 eq ftp
--- FTP サーバへのデータ接続は、
!--- フェーズ 3 の permit established ACE によって許可されています。
!--- FTP サーバに対する PASV データ接続を許可します。
access-list 110 permit tcp any gt 1023 host 192.168.201.102 gt 1023
access-list 110 permit tcp any host 192.168.201.103 eq smtp
!--- フェーズ 4 - トラッキングの明示的なdeny 文。
access-list 110 deny ip any any
Edge-router(config)#interface serial 2/0
Edge-router(config-if)#ip access-group 110 in
関連情報
IOS マニュアルの IP サービス コマンド(access-list (IP extended)、ip access-list)
Requests for Comments(RFC)
1992 - 2014 Cisco Systems, Inc. All rights reserved.
Updated: 2003 年 8 月 15 日
http://www.cisco.com/cisco/web/support/JP/100/1006/1006442_tacl-j.html
Document ID: 44541

 Download  Report

Paperzz.com

Your Paperzz

© Copyright 2026 Paperzz