2021-06-10に更新

ACL(アクセスコントロールリスト)メモ

ACL

ACLとは

文字通りこの端末はこの端末にアクセスしてもいいやつなのかどうかが書いてあるリスト的な奴。
ここではPCからPCにとある通信を送る際、間に入っているルータにACLを設定して通信を許可したり遮断して行うこととする。
英語が苦手民は

deny(拒否or遮断)permit(許可)、any(全部)

の三つを頭の中に入れてから次の項目へ。

ACL基礎知識

①アクセスに対しての設定は受信する通信(inbound)、もしくは送信する通信(outbound)に対して「許可」もしくは「遮断」することができる

②コントロールする条件は送信元(宛先)IPアドレス、送信元(宛先)ポート番号、プロトコル等を使用する

③条件とそれを満たした時にどうするのかを列挙したリストみたいな形で存在すると頭に入れておく。
※行番号が小さい方から参照していき、条件があった所で、その条件に合った処理を行う(以降は参照しない)
※デフォルトで「暗黙のdeny any(すべてを遮断)」が最終行に入るようになっている
※作成しただけでは有効にならない(適用が必要)
※Router#show˽access-lists で確認(条件に合った数も表示)

ACLの種類

①標準ACL
– 条件として送信元IPアドレスのみを使用できる
– 名前付き標準ACLと番号付き標準ACLがある
詳しくは→標準ACLメモ
②拡張ACL
– 条件として送信元(宛先)IPアドレス、送信元(宛先)ポート番号、プロトコル(ip/icmp/tcp/udp)等を使用する
– 名前付き拡張ACLと番号付き拡張ACLがある
詳しくは→拡張ACLメモ
③telnetで使用するVTYにACLを適用させる
– 物理インターフェース毎にACLを適用するのは大変
– 宛先のIPアドレス(TelnetサーバのIPアドレス)として、そのネットワーク機器が持つ全てのIPアドレスを考慮する必要がある

受信側と送信側

ACL基礎知識①で触れている受信側と送信側に対して許可や拒否を設定するとは何ぞやの話
ルータで話すと

PC1ーーーRouterーーーPC2

の場合PC1からPC2にicmpを通したい(通したくない)場合
受信側で拒否、許可設定を設定するとしたら

PC1ーーー☆RouterーーーPC2

☆の部分で許可(permit)、拒否(deny)を設定してるイメージ

送信側で拒否、許可設定を設定するとしたら

PC1ーーーRouter★ーーーPC2

★で許可(permit)、拒否(deny)を設定してるイメージ

ホワイトリスト方式とブラックリスト方式

– ホワイトリスト方式は基本的にすべて「遮断」、その上で「許可」する対象だけをリストに載せる方式(※ACLは「暗黙のdeny any」があるのでこちらになっている)
– 逆にブラックリスト方式は基本的にすべて「許可」、その上で「遮断」する対象だけをリストに載せる方式
簡単に言うとブラックリストはダメな奴を追加していってホワイトリストはいいやつを追加していくイメージ

まとめ

①ACLは通信を許可とか拒否してくれるやつ
②シンプルな条件な奴は標準ACL、条件がいっぱいあるやつは
③拒否、許可のタイミングは受信したときか送信するときで選べる
④deny any(全拒否)、permit any(全許可)が最初から設定されてる状態から通っていい通信、通したくない通信の条件を後付けでどんどん足してくイメージ

ツイッターでシェア
みんなに共有、忘れないようにメモ

tobara

Crieitは誰でも投稿できるサービスです。 是非記事の投稿をお願いします。どんな軽い内容でも投稿できます。

また、「こんな記事が読みたいけど見つからない!」という方は是非記事投稿リクエストボードへ!

有料記事を販売できるようになりました!

こじんまりと作業ログやメモ、進捗を書き残しておきたい方はボード機能をご利用ください。
ボードとは?

コメント