外部インターフェースDialer1に再帰ACLを設定して
内部ネットワークから外部ネットワークに出て行くトラフィックを
reflect RACLで記憶して
外部ネットワークから内部ネットワークへのトラフィックは
httpd用に80のみ固定で許可し
それ以外は、reflect RACLを元に戻ってきたトラフィックか判断して
通過させるかを決定する。
内部ネットワークから外部ネットワークに出て行くトラフィックを
reflect RACLで記憶して
外部ネットワークから内部ネットワークへのトラフィックは
httpd用に80のみ固定で許可し
それ以外は、reflect RACLを元に戻ってきたトラフィックか判断して
通過させるかを決定する。
外部インターフェース用のACL設定(内部から外部に出て行く時用)
1812J(config)#ip access-list extended RACL-OUTB
#RACLを設定してパケットが戻った時の判断用に設定
1812J(config-ext-nacl)#permit ip any any reflect RACL timeout 300
1812J(config)#ip access-list extended RACL-OUTB
#RACLを設定してパケットが戻った時の判断用に設定
1812J(config-ext-nacl)#permit ip any any reflect RACL timeout 300
外部インターフェースのアウトバウンドにACLを適用
1812J(config)#interface Dialer1
1812J(config-if)#ip access-group RACL-OUTB out
1812J(config)#interface Dialer1
1812J(config-if)#ip access-group RACL-OUTB out
外部インターフェース用のACL設定(外部から内部に入っていく時用)
1812J(config)#ip access-list extended RACL-INB
#httpdの公開用に許可
1812J(config-ext-nacl)##permit tcp any any eq www
#RACLを元に戻ってきたトラフィックを通過させるかどうか判断する
1812J(config-ext-nacl)#)#evaluate RACL
1812J(config)#ip access-list extended RACL-INB
#httpdの公開用に許可
1812J(config-ext-nacl)##permit tcp any any eq www
#RACLを元に戻ってきたトラフィックを通過させるかどうか判断する
1812J(config-ext-nacl)#)#evaluate RACL
0 件のコメント:
コメントを投稿