(Cisco)ルータのACLでステートフルインスペクション

何をするか

CiscoルータのACLでステートフルインスペクションを機能させて
FWっぽい動きをさせる。
↓ざっくり構成図

ステートフルインスペクションとは

 発信側のパケットをルータ(又はFW)で記憶して
 対応する戻りの通信の通過を動的に許可する仕組みのことです。
 FWではこの機能を標準搭載しています。

前提

 ・Gi8はWAN側
  (WAN側からの通信は戻りのみを許可)
 ・戻りを許可するプロトコルはTCP及びICMP全て
  (WAN側に抜ける必要のある通信のみを記載する)

UDPは別途記述が必要?

 GNS3のc3660でACLを書いたところtcpはestablishedのオプションが存在しましたが、
 udpはestablishedのオプションが存在しませんでした。
 udpでもdnsやntpは応答パケットがあるのでWAN側のNTPサーバやDNSサーバに
 問い合わせる必要がある場合は別途ACLの記載が必要だと思います。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です