概要

プライベートネットワークのPC1からインターネット上のSRV宛ての通信の戻りだけを許可するパケットフィルタリングを行います。戻りの通信だけを自動的に許可するためにリフレクシブACLの設定を行います。

ネットワーク構成

図 ネットワーク構成

設定条件

  • R1では、プライベートネットワークからインターネット宛ての戻りパケットのみを許可するようにします。

初期設定

R1

  • ホスト名
  • IPアドレス/サブネットマスク
  • NAT
  • RIPv2
  • デフォルトルート

R2

  • ホスト名
  • IPアドレス/サブネットマスク
  • プライベートアドレスの範囲でのRIPv2

ISP

  • ホスト名
  • IPアドレス/サブネットマスク

PC1/SRV

  • ホスト名
  • IPアドレス/サブネットマスク、デフォルトゲートウェイ

ダウンロード

初期設定の設定ファイルは、ボタンをクリックするとダウンロードできます。

設定と確認

Step1:リフレクシブアクセスリストの設定

R1でプライベートネットワークからインターネット宛ての戻りパケットのみを許可するために、リフレクシブアクセスリストの設定を行います。

R1

interface FastEthernet0/1
 ip access-group FROM_INET in
 ip access-group TO_INET out
!
ip access-list extended FROM_INET
 evaluate REF
 deny   ip any any
ip access-list extended TO_INET
 permit ip any any reflect REF

Step2:リフレクシブアクセスリストの確認

R1でshow ip access-listおよびshow ip interface FastEthernet0/1コマンドでリフレクシブアクセスリストの設定を確認します。

R1

R1#show ip access-lists
Standard IP access list 1
    10 permit 192.168.0.0, wildcard bits 0.0.255.255 (11 matches)
Extended IP access list FROM_INET
    10 evaluate REF
    20 deny ip any any
Reflexive IP access list REF
Extended IP access list TO_INET
    10 permit ip any any reflect REF
R1#show ip interface FastEthernet 0/1
FastEthernet0/1 is up, line protocol is up
  Internet address is 100.0.0.1/24
  Broadcast address is 255.255.255.255
  Address determined by non-volatile memory
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is TO_INET
  Inbound  access list is FROM_INET
~省略~

PC1からSRVへPingを実行すると応答が返ってきます。

PC1

PC1#ping 100.100.100.100

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.100.100.100, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 136/141/144 ms

そして、R1でshow ip access-listコマンドを見ると、PC1からSRV宛てのPingの返事を許可する条件が自動的に作成されていることがわかります。

R1

R1#show ip access-lists
Standard IP access list 1
    10 permit 192.168.0.0, wildcard bits 0.0.255.255 (23 matches)
Extended IP access list FROM_INET
    10 evaluate REF
    20 deny ip any any
Reflexive IP access list REF
     permit icmp host 100.100.100.100 host 100.0.0.1  (16 matches) (time left 257)
Extended IP access list TO_INET
    10 permit ip any any reflect REF (9 matches)

以下の図は、リフレクシブアクセスリストで自動的に戻りパケットを許可する条件を作成している様子を表しています。

図 リフレクシブアクセスリストの設定と動作

セキュリティの基礎