| アクセスリストの設定例 では、実際にアクセスリストの設定を行って見ましょう。IPアドレスの偽装を防ぐために、よく使うパケットフィルタリングの条件を設定します。図のインターネットに接続されているルータAで標準アクセスリストを設定します。インターネットから入ってくるパケットの送信元IPアドレスが次のアドレスのパケットは拒否します。 ・プライベートアドレス ・内部ネットワークのアドレス  アクセスリストの設定とインターフェースへの適用は、次の通りです。 行 1. RouterA(config)#access-list 1 deny 10.0.0.0 0.255.255.255 2. RouterA(config)#access-list 1 deny 172.16.0.0 0.15.255.255 3. RouterA(config)#access-list 1 deny 192.168.0.0 0.0.255.255 4. RouterA(config)#access-list 1 deny 200.1.1.0 0.0.0.31 5. RouterA(config)#access-list 1 permit any 6. (access-list 1 deny any) ←暗黙のdeny 7. RouterA(config)#interface serial 0 8. RouterA(config-if)#ip access-group 1 in 1〜3行目でクラスA〜Cのプライベートアドレスの範囲を送信元IPアドレスに持つパケットを拒否します。4行目で内部ネットワークのアドレス(200.1.1.0/27)のアドレスを持つパケットを拒否しています。 ここで注意しなくてはいけないことが、アクセスリストの最後には、暗黙のdenyがあるということです(7行目)。ですから、1〜5行目だけの条件であれば、どこにも許可の条件がないので、暗黙のdenyによってすべてのパケットが拒否されてしまいます。暗黙のdenyを回避するために、6行目ですべての送信元IPアドレスを持つパケットを許可しています。 アクセスリストをルータAのS0インタフェースのインバウンドで適用するか、E0インタフェースのアウトバウンドに適用するか、どちらがいいでしょう? どちらも指定されたとおりにパケットをフィルタすることができますが、E0インタフェースのアウトバンドに適用すると、いったんルーティングされてからパケットがフィルタされます。どうせフィルタすることになるパケットであるなら、わざわざルーティングする必要はありません。ですから、この場合はS0インタフェースのインバウンドに適用する方が効率よくフィルタリングを行うことができます。 |
