ACL Network

【YamahaL3SW】Access-listのtcp permit ack (established)で戻りのパケットを許可

2023年1月10日


YamahaのL3SWで片方からの通信のみ許可するACLを作成します。
192.168.9.0/24からの通信のみ許可します。

YamahaL3SW


L3SWに以下の設定を行います



(config)access-list 1 10 permit tcp 192.168.9.0 0.0.0.255 host 0.0.0.0 ack
(config-acl)access-list 1 20 permit 1 192.168.9.0 0.0.0.255 host 0.0.0.0
(config-acl)access-list 1 30 deny any any any
(config-acl)exit
(config)interface port1.7
(config-if)access-group 1 in
(config-if)end



番号20のpermit 1はポート番号1のICMP




そもそもなぜ戻りのackだけを許可する必要があるかは、上図が答えです。

ACLをport1.7にIN方向でかけることで、ubuntuがsourceの場合は、戻りのsyn/ackを通過させます。

逆にwindowsがsourceの場合は、最初のsynを遮断するので、以後のパケットが発生しません。

CATEGORIES & TAGS

ACL, Network,

Author:

comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

UniversalOneを挟んだネットワーク接続手順

【Catalyst3750】Stack構成による障害検証

YamahaのL3-SWを使用して、ACLによるフィルタリングルールを適用する

【ルーティング】スタティック・デフォルトルート設定追加手順

Catalystを通るパケットをミラーポートで取得する方法

PREV
UbuntuでStaticRouteの設定
NEXT
【docker】【エラー切り分け】to bridge docker0 failed: could not find bridge docker0: route ip+net: no such network interface

カテゴリー

最近の投稿

Profile

むるし

フリーランスのインフラ系エンジニア。
備忘録で色々書いていきます。
お問い合わせは↓
mo-gyu@murci.net
LPIC303 Security

Search

Archive

ラクポチ
%d人のブロガーが「いいね」をつけました。