Cisco Router, Catalyst
RACL(Router Access Control List)
例)Vlan10において、192.168.10.0/24から192.168.20.0/24へのアクセスを禁止する。
着信パケットのフィルタリング(192.168.20.0/24 → 192.168.10.0/24)
Router(config)#access-list 100 remark ** Incoming Filter from 192.168.20.0/24 **
Router(config)#access-list 100 deny icmp 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
Router(config)#access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
Router(config)#access-list 100 permit icmp any any
Router(config)#access-list 100 permit ip any any
Router(config)#interface vlan 10
Router(config-if)#ip access-group 100 in
Router(config-if)#end
発信パケットのフィルタリング(192.168.10.0/24 → 192.168.20.0/24)
Router(config)#access-list 101 remark ** Outgoing Filter to 192.168.20.0/24 **
Router(config)#access-list 101 deny icmp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
Router(config)#access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
Router(config)#access-list 101 permit icmp any any
Router(config)#access-list 101 permit ip any any
Router(config)#interface vlan 10
Router(config)#ip access-group 101 out
Router(config-if)#end
RACLにおける適用方向(IN, OUT)について
例)Switch内にある各SVIのVlan1(192.168.1.0/24)からVlan2(192.168.2.0/24)への通信を遮断する場合。
ACLをVlan1のOUTで適用するとVlan2へ通信が出来てしまう。(物理的なインターフェースからのパケット発信が制御の対象みたい!)
そのため、Vlan1のINで適用(物理的なパケットの着信にACLが適用される)することで実装する。 ←RACLはハードウェア処理のため?
または、VACLによるソフトウェアフィルタリングを行う。
VACL(VLAN Access Control List)
例)Switch内にある各SVIのVlan1(192.168.1.0/24)からVlan2(192.168.2.0/24)への通信を遮断する場合。
Switch(config)# ip access-list extended vfilter
Switch(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Switch(config-ext-nacl)# exit
Switch(config)# vlan access-map VMAP 10
Switch(config-access-map)# match ip address vfilter
Switch(config-access-map)# action drop
Switch(config-access-map)# exit
Switch(config)# vlan access-map VMAP 20
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan filter VMAP vlan-list 1
ASA
FQDNによるACL
例)www.yahoo.co.jpをFQDNによりフィルタリングを実施し、それ以外の通信を許可する。この時、DNSサーバはoutsideインタフェース側に存在し、insideインタフェースからの通信をACLにて遮断する。
asa(config)# domain-name [[network]].home
asa(config)# dns domain-lookup outside
asa(config)# dns server-group DefaultDNS
asa(config)# name-server 10.0.1.250
asa(config)# domain-name network.home
asa(config)# object network fqdn-01
asa(config)# fqdn www.yahoo.co.jp
asa(config)# access-list test01 extended deny ip any object fqdn-01
asa(config)# access-list test01 extended permit ip any any
asa(config)# access-group test01 in interface inside
以下、状態確認
asa# show dns-hosts
Host Flags Age Type Address(es)
www.yahoo.co.jp (temp, EX) 0 IP 124.83.183.243 124.83.139.220
183.79.196.239 124.83.155.249
www.g.yahoo.co.jp
asa# show dns
Name: www.yahoo.co.jp
Address: 124.83.183.243 TTL 00:00:49
Address: 124.83.139.220 TTL 00:00:49
Address: 183.79.196.239 TTL 00:00:49
Address: 124.83.155.249 TTL 00:00:49
asa# show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
alert-interval 300
access-list test01; 6 elements; name hash: 0x6e6403ec
access-list test01 line 1 extended deny ip any object fqdn-01 (hitcnt=24) 0xfade8723
access-list test01 line 1 extended deny ip any fqdn www.yahoo.co.jp (resolved) 0x8c9d6169
access-list test01 line 1 extended deny ip any host 124.83.183.243 (www.yahoo.co.jp) (hitcnt=9) 0xfade8723
access-list test01 line 1 extended deny ip any host 124.83.139.220 (www.yahoo.co.jp) (hitcnt=6) 0xfade8723
access-list test01 line 1 extended deny ip any host 183.79.196.239 (www.yahoo.co.jp) (hitcnt=7) 0xfade8723
access-list test01 line 1 extended deny ip any host 124.83.155.249 (www.yahoo.co.jp) (hitcnt=2) 0xfade8723
access-list test01 line 2 extended permit ip any any (hitcnt=998) 0x1cd016a8
最終更新:2016年01月20日 02:59
