目次
何をするか
CiscoルータのACLでステートフルインスペクションを機能させて
FWっぽい動きをさせる。
↓ざっくり構成図
ステートフルインスペクションとは
発信側のパケットをルータ(又はFW)で記憶して
対応する戻りの通信の通過を動的に許可する仕組みのことです。
FWではこの機能を標準搭載しています。
前提
・Gi8はWAN側
(WAN側からの通信は戻りのみを許可)
・戻りを許可するプロトコルはTCP及びICMP全て
(WAN側に抜ける必要のある通信のみを記載する)
1 2 3 4 5 6 7 8 9 10 |
interface GigabitEthernet8 description # WAN # ip address 1.1.1.1 255.255.0.0 ip access-group Statefull in ! ! ip access-list extended Statefull permit tcp any any established permit icmp any any echo-reply ! |
UDPは別途記述が必要?
GNS3のc3660でACLを書いたところtcpはestablishedのオプションが存在しましたが、
udpはestablishedのオプションが存在しませんでした。
udpでもdnsやntpは応答パケットがあるのでWAN側のNTPサーバやDNSサーバに
問い合わせる必要がある場合は別途ACLの記載が必要だと思います。