ACL Network

【YamahaL3SW】Access-listのtcp permit ack (established)で戻りのパケットを許可

2023年1月10日


YamahaのL3SWで片方からの通信のみ許可するACLを作成します。
192.168.9.0/24からの通信のみ許可します。

YamahaL3SW

L3SWに以下の設定を行います

(config)access-list 1 10 permit tcp 192.168.9.0 0.0.0.255 host 0.0.0.0 ack
(config-acl)access-list 1 20 permit 1 192.168.9.0 0.0.0.255 host 0.0.0.0
(config-acl)access-list 1 30 deny any any any
(config-acl)exit
(config)interface port1.7
(config-if)access-group 1 in
(config-if)end

番号20のpermit 1はポート番号1のICMP

そもそもなぜ戻りのackだけを許可する必要があるかは、上図が答えです。
ACLをport1.7にIN方向でかけることで、ubuntuがsourceの場合は、戻りのsyn/ackを通過させます。
逆にwindowsがsourceの場合は、最初のsynを遮断するので、以後のパケットが発生しません。

CATEGORIES & TAGS

ACL, Network,

Author:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

むるし

フリーランスのインフラ系エンジニア。
備忘録で色々書いていきます。
お問い合わせは↓
mo-gyu@murci.net
LPIC303 Security

年収訴求

%d人のブロガーが「いいね」をつけました。