ここまでアクセスリストについて解説してきましたが、ここでアクセスリストを設定する上で注意しなければいけない点を書いておきましょう。
Ciscoルータは、アクセスリストのチェックを上から順番にチェックして、条件に合った時点でチェックを終了するという動作を行います。
例えば、以下のような拡張アクセスリストを上から順番に設定したとしましょう。
Router(config)#access-list 100 deny ip 192.168.0.0 0.0.255.255 any
Router(config)#access-list 100 permit ip host 192.168.1.1 any
Router(config)#access-list 100 deny ip any host 192.168.17.1
Router(config)#access-list 100 permit ip any any
ここで、192.168.1.1 のホストから通信があった場合、アクセスリストは上からチェックしていきます。
すると最初の定義に合致しますよね。そのため2行目のアクセスリストで本来は通信を許可したいのにもかかわらず、破棄してしまいます。
この動作をしっかりと意識して設定をしないと、通るはずのパケットが通らないことにもなりかねません。
では、どの順番にすればよいのでしょうか?
今回の例だと 1 行目と 2 行目を入れ替えれば問題無さそうです。
Router(config)#access-list 100 permit ip host 192.168.1.1 any
Router(config)#access-list 100 deny ip 192.168.0.0 0.0.255.255 any
Router(config)#access-list 100 deny ip any host 192.168.17.1
Router(config)#access-list 100 permit ip any any
アクセスリストのチェックは、当然全てのパケットに対して行いますから、出来るだけ合致するパケットが多い定義を上にしたほうがルータの処理を軽減することができます。
実際の運用ではもっとたくさんの定義を設定していることもあるでしょう。
そんな時にこそ、「アクセスリストは上から順番にチェックしていく」という基本動作を頭に入れて運用することが大切なんですね。
ちなみに、拡張アクセスリストの場合は、アクセスリストを追加した順番に末尾に組み込まれていきますが、標準アクセスリストの場合、host指定したものから先頭にくるように順序を書き換える仕様になっています。
例えば、以下のような順番で標準アクセスリストを設定した場合、
Router(config)#access-list 1 permit host 192.168.1.1
Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255
Router(config)#access-list 1 deny host 10.1.1.1
Router(config)#access-list 1 permit host 172.16.1.1
Router(config)#access-list 1 permit any
Router(config)#exit
と設定した場合でも、host指定したものから先頭に書き換えられます。
Router#show access-lists
Standard IP access list 1
deny 10.1.1.1
deny 172.16.1.1
permit 192.168.1.1
deny 192.168.1.0, wildcard bits 0.0.0.255
permit any
Router#
以下のアクセスリストを見てください。
Router(config)#access-list 1 permit host 192.168.1.1
Router(config)#access-list 1 deny 192.168.0.0 0.0.255.255
Router(config)#access-list 1 deny host 10.1.1.1
このアクセスリストで、172.16.1.1 というホストからアクセスがあった場合どうなると思いますか?
アクセスリストは上から順番にチェックしていきますが、送信元IPアドレス 172.16.1.1 は、どの条件にも合いません。
この場合はどうなるのでしょうか?
すべての条件に合わない場合、アクセスリストはそのパケットを拒否してしまいます。
つまり今回の例ですと、172.16.1.1 のパケットは拒否されて通信できないわけですね。
この動作のことを「暗黙のdeny」と呼んでいます。
そこで定義したもの以外のパケットをすべて許可したい場合は、必ず最後にすべてを許可する定義を設定しなければいけません。
Router(config)#access-list 1 permit host 192.168.1.1
Router(config)#access-list 1 deny 192.168.0.0 0.0.255.255
Router(config)#access-list 1 deny host 10.1.1.1
Router(config)#access-list 1 permit any
もう1つアクセスリストについて、ネットワーク運用者が知っておかなければいけない大事な注意点があります。
例えば、下記の定義を設定したあるルータに、
Router(config)#access-list 1 permit host 192.168.1.1
Router(config)#access-list 1 deny 192.168.0.0 0.0.255.255
Router(config)#access-list 1 deny host 10.1.1.1
Router(config)#access-list 1 permit any
172.16.1.1 のホストを拒否する設定を追加したいとしましょう。
ここで、単純に以下の定義を設定すれば良いのでは?と考えた方は残念ながらハズレです。
Router(config)#access-list 1 deny host 172.16.1.1
実際に設定を確認して見ましょう。
access-list 1 permit host 192.168.1.1
access-list 1 deny 192.168.0.0 0.0.255.255
access-list 1 deny host 10.1.1.1
access-list 1 permit any
access-list 1 deny host 172.16.1.1
以上のように追加した設定は、既存の設定の下に設定されてしまいます。
そうすると、4行目の定義「access-list 1 permit any
」で、すべてのパケットを許可していますから、最後の定義はまったくもって意味がありません。
つまりアクセスリストの定義は既存の定義の途中に入れることが出来ません。
また既存の設定の1行だけ削除したいという場合もあるでしょう。実はこれも出来ません。
access-list コマンドを削除する場合は、頭に no を付けることで削除することは出来るんですが…
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#no access-list 1 [リターン]
Router(config)#exit
設定を確認してみると…
Router#sh run
Building configuration...
Current configuration : 815 bytes
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
~ 省略 ~
!
end
すべて定義が消えてしまいます。
つまり定義を 1 行削除したいときでも、もう一度すべての定義を設定しないといけません。
さらに厄介なのが、no access-list コマンドで定義を消しても、インタフェースに適用した ip access-group コマンドは削除されない点です。
定義がなくて ip access-group だけ残っている場合ってどうなると思いますか?
アクセスリストには暗黙のDenyという考え方があるので、すべて拒否されてしまうと思えるかもしれませんが、実はその逆で全てのパケットを許可してしまいます。
覚えておいてください。
このように、アクセスリストの運用はとても不便です。
その不便を解消する方法が次に解説する「名前付きアクセスリスト」です。
access-list コマンドで定義を設定したら、特定の定義だけを削除することはできないという問題を解決するには、「名前付きアクセスリスト」を利用する必要があります。
今までのアクセスリストとの主な違いは以下の通り。
名前付きアクセスリストの使用方法は、まずアクセスリストの種類と名前を定義します。
Router(config)#access-list [standard | extended] [アクセスリスト名]
「standard」を指定すると、標準アクセスリストを、「extended」だと拡張アクセスリストを意味します。アクセスリスト名は、任意の文字列を入力します。
続いてフィルタリングの定義を以下のコマンドを使用して設定していきます。
Router(config [std- | ext-]nacl)\#[permit | deny] [条件]
最後にインタフェースに定義を適用します。
Router(config-if)#ip access-group [アクセスリスト名] [in | out]
例として下図のように、インターネットから192.168.17.1 のHTTPアクセスのみを許可する名前付き拡張アクセスリストを作成してみましょう。
アクセスリスト名は「WWW-Filter」とします。
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip access-list extended WWW-Filter
Router(config-ext-nacl)#permit tcp any host 192.168.17.1 eq 80
Router(config-ext-nacl)#deny ip any any
Router(config)#exit
Router(config)#interface ethernet 0
Router(config-if)#ip access-group WWW-Filter in
Router(config-if)#end
名前付きアクセスリストの特徴は、特定の定義だけを削除できるという点です。
Router(config)#ip access-list extended TEST-Filter
Router(config-ext-nacl)#permit tcp any host 192.168.17.1 eq 80
Router(config-ext-nacl)#permit tcp any host 192.168.17.2 eq 23
Router(config-ext-nacl)#permit tcp any host 192.168.17.3 eq 53
Router(config-ext-nacl)#deny ip any any
上記の定義を設定した後に、
permit tcp any host 192.168.17.2 eq 23
の定義のみ削除する場合の削除例をみてみましょう。
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip access-list extended TEST-Filter
Router(config-ext-nacl)#no permit tcp any host 192.168.17.2 eq 23
Router(config)#exit
このように削除したい定義の先頭に「no」を付けることで、その定義のみを削除することが可能です。
ここまでは、ルータに入ってくるパケットや、出ていくパケットに対して許可・拒否を指定する設定を解説してきました。
最後にルータへのアクセスの制限を行う設定を解説しておきましょう。
ルータにアクセスできるアドレスやネットワークを制限することで、セキュリティを高めることが出来ます。
例として 192.168.1.1 のホストからのみ、Telnet 許可する設定をしてみましょう。
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 10 permit host 192.168.1.1
Router(config)#line vty 0 4
Router(config-line)#access-class 10 in
以上のように、Vty インタフェースに適用することで、Telnet の制限をアクセスリストで行うことが可能です。
この時のコマンドは、「ip access-group
」ではなくて、「access-class
」というコマンドを使用しますので注意しましょう。
また、「access-class
」コマンドの「in | out」は以下のような意味になりますので合わせて覚えておくとよいでしょう。
標準アクセスリストなら、宛先アドレスに近いインタフェースに、拡張アクセスリストなら、送信元アドレスに近いインタフェースに設定する方が良いというのが一般的な考え方です。
(もちろん構成やポリシーによって変わってきますので、あくまで一般的な考え方です。)
標準アクセスリストは、送信元アドレスしか指定できません。
そのため送信元の近くに適用すると、すべての宛先が拒否or許可される可能性があるためです。
拡張アクセスリストの場合は、宛先、送信元、プロトコルといった細かい指定が可能なので、送信元アドレスにちかいところで適用してあげるのが良いといわれています。
ネットワ-ク初心者のみなさま。
ネットワークの基礎知識を疎かにすることは
大変危険です!!
これを読めばネットワークの基礎が分かる!!
ネットワーク関連の仕事に就きたいとお考えの学生の方や、ネットワークに興味があって転職を考えている社会人の方、まずは登録してみてください。
もちろん無料です!!
↓メールマガジン購読はこちら↓