下記のようなACLを書いたのですがうまく動作しません。
書き方に問題がありますでしょうか。
No.0001 any DNSサーバ許可
No.0002 any DHCPサーバ許可
No.0003 any プロキシサーバ許可
No.0004 Grp00 全アドレス許可
No.0010 Grp01 Aサーバ許可
No.0010 Grp01 全アドレス拒否
No.9999 any 全アドレス拒否
Grp00の中にユーザを一人追加し、そのユーザで接続しています。
No.0004のルールが無視をされているのか、No.0001~0003のサーバ以外に
接続ができません。
全アドレスを許可するのであれば、拒否ルールだけを書いて
No.9999のようなルールは書かない方がいいのでしょうか。
仮想HubのACLの書き方について
-
cedar
- Site Admin
- Posts: 2266
- Joined: Sat Mar 09, 2013 5:37 am
Re: 仮想HubのACLの書き方について
Grp00のユーザーは、どのアドレスとの通信も許可したいという意味でしょうか。
行きと帰りの通信を許可する必要があるので、少なくとも2つルールが必要だと思うのですが、どのような記述になっているでしょうか。
行きと帰りの通信を許可する必要があるので、少なくとも2つルールが必要だと思うのですが、どのような記述になっているでしょうか。
-
vita
- Posts: 6
- Joined: Wed Apr 15, 2020 12:19 pm
Re: 仮想HubのACLの書き方について
grp00はこのSSのように書いております。
これに対して、送信元の名前を「空欄」、宛先の名前を「Group00」ってルールが必要ということでしょうか。
ユーザーもしくはグループを指定したフィルタを作成する場合は、行きだけの許可だけではなく
必ず戻りの許可も必要ということでしょうか。
行き 戻り
ユーザーもしくはグループを指定したフィルタを作成する場合は、行きだけの許可だけではなく
必ず戻りの許可も必要ということでしょうか。
行き 戻り
You do not have the required permissions to view the files attached to this post.
-
vita
- Posts: 6
- Joined: Wed Apr 15, 2020 12:19 pm
Re: 仮想HubのACLの書き方について
画像の貼り付けが出来ないようなので画像の内容です。
Grp00のSSの内容
・ユーザーまたはグループに関するフィルタリングオプション
送信元「Grp00」
宛先「空欄」
・Macヘッダに関するフィルタリングオプション
すべての送信元~ にチェック
すべての宛先~ にチェック
・IPヘッダに関するフィルタリングオプション
すべての送信元~ にチェック
すべての宛先~ にチェック
・プロトコルの種類
すべてのIPv4/IPv6
・TCPヘッダまたはUDPヘッダに関するフィルタリングオプション
設定なし
Grp03 out
・ユーザーまたはグループに関するフィルタリングオプション
送信元「Grp03」
宛先「空欄」
・Macヘッダに関するフィルタリングオプション
すべての送信元~ にチェック
すべての宛先~ にチェック
・IPヘッダに関するフィルタリングオプション
すべての送信元~ にチェック
すべての宛先~ にチェックOFF
IPv4アドレス 192.168.1.111/32
・プロトコルの種類
すべてのIPv4/IPv6
・TCPヘッダまたはUDPヘッダに関するフィルタリングオプション
設定なし
Grp03 in
・ユーザーまたはグループに関するフィルタリングオプション
送信元「空欄」
宛先「Grp03」
・Macヘッダに関するフィルタリングオプション
すべての送信元~ にチェック
すべての宛先~ にチェック
・IPヘッダに関するフィルタリングオプション
すべての送信元~ にチェックOFF
IPv4アドレス 192.168.1.111/32
すべての宛先~ にチェック
・プロトコルの種類
すべてのIPv4/IPv6
・TCPヘッダまたはUDPヘッダに関するフィルタリングオプション
設定なし
Grp00のSSの内容
・ユーザーまたはグループに関するフィルタリングオプション
送信元「Grp00」
宛先「空欄」
・Macヘッダに関するフィルタリングオプション
すべての送信元~ にチェック
すべての宛先~ にチェック
・IPヘッダに関するフィルタリングオプション
すべての送信元~ にチェック
すべての宛先~ にチェック
・プロトコルの種類
すべてのIPv4/IPv6
・TCPヘッダまたはUDPヘッダに関するフィルタリングオプション
設定なし
Grp03 out
・ユーザーまたはグループに関するフィルタリングオプション
送信元「Grp03」
宛先「空欄」
・Macヘッダに関するフィルタリングオプション
すべての送信元~ にチェック
すべての宛先~ にチェック
・IPヘッダに関するフィルタリングオプション
すべての送信元~ にチェック
すべての宛先~ にチェックOFF
IPv4アドレス 192.168.1.111/32
・プロトコルの種類
すべてのIPv4/IPv6
・TCPヘッダまたはUDPヘッダに関するフィルタリングオプション
設定なし
Grp03 in
・ユーザーまたはグループに関するフィルタリングオプション
送信元「空欄」
宛先「Grp03」
・Macヘッダに関するフィルタリングオプション
すべての送信元~ にチェック
すべての宛先~ にチェック
・IPヘッダに関するフィルタリングオプション
すべての送信元~ にチェックOFF
IPv4アドレス 192.168.1.111/32
すべての宛先~ にチェック
・プロトコルの種類
すべてのIPv4/IPv6
・TCPヘッダまたはUDPヘッダに関するフィルタリングオプション
設定なし
-
cedar
- Site Admin
- Posts: 2266
- Joined: Sat Mar 09, 2013 5:37 am
Re: 仮想HubのACLの書き方について
> ユーザーもしくはグループを指定したフィルタを作成する場合は、行きだけの許可だけではなく
> 必ず戻りの許可も必要ということでしょうか。
ユーザーやグループを条件とするもの以外も、一方通行の通信以外は帰りの経路も許可する必要があります。
例えば DNS サービスの場合は、DNS サーバーの 53 番ポートへの通信だけでなく、
DNS サーバーの 53 番ポートからのパケットも明示的に許可する必要があります。
> 必ず戻りの許可も必要ということでしょうか。
ユーザーやグループを条件とするもの以外も、一方通行の通信以外は帰りの経路も許可する必要があります。
例えば DNS サービスの場合は、DNS サーバーの 53 番ポートへの通信だけでなく、
DNS サーバーの 53 番ポートからのパケットも明示的に許可する必要があります。
-
vita
- Posts: 6
- Joined: Wed Apr 15, 2020 12:19 pm
Re: 仮想HubのACLの書き方について
ありがとうございます
戻りも書く必要があるのですね。
FWのようにステートフルパケットインスペクション機能があるものだと思い込んでおりました。
戻りも書く必要があるのですね。
FWのようにステートフルパケットインスペクション機能があるものだと思い込んでおりました。