レス
前レス
元トピ
次レスタイトル
Re: 問題ID: 24869 について質問ですフォーラム
最強WEB問題集CCNP ROUTE投稿ユーザ(投稿日)
(2018/6/3)本文
-----引用(始)-----
こちらのACLの適用方向、アウトバウンドが正解となっていますが、インバウンドでも問題ないと思うのですが、何故インバウンドが駄目なのか解説して頂きたく。
解説が「インターネットへの制限だからアウトバウンド」という論調で、インバウンドでは要件を満たせない理由になっていないと思うのですが。
-----引用(終)-----
「なぜインバウンドでも問題ないか」の説明をしていただけるといいんですけどねぇ…
まず設問の条件
-----引用(始)-----
・内部ネットワークからインターネットへのSSH接続を拒否する
-----引用(終)-----
「内部ネットワークからインターネット(外部)」への「SSH接続」を「拒否」するんですよね?
じゃあここだけをアクセスリストでどう表現できるかざっくり考えるとこれが思い浮かぶんですが、ここは大丈夫ですか?(CCNPレベルなので大丈夫なはず…)
[code]
access-list 100 deny tcp {内部ネットワークアドレス} {内部ネットワークにマッチするワイルドカード} any eq 22
access-list 100 permit ip any any
[/code]
・送信元が内部ネットワーク、宛先はどこでもマッチ(インターネットとしか言われていないので特定できない)
・SSHと言われているので22/tcpを拒否
・その他は許可
じゃあこれがインバウンドかアウトバウンドか、ということですが
アウトバウンド:ACLを「出ていく」トラフィックに適用
インバウンド:ACLを「入ってくる」トラフィックに適用
ってのは大丈夫ですか?(ROUTEの問題なのでそこは大丈夫と信じたい…)
で、mamorukunさんも指摘されていますが
-----引用(始)-----
ルータの インターネットに接続するインターフェース に、以下の要件を満たすアクセスリストを適用したい。
-----引用(終)-----
インターネットに接続するインターフェースがACLの適用先であって、内部ネットワークに接続するインターフェースではないので、上記ACLの「送信元(内部ネットワークアドレス)」が送信元となれるのは出ていくトラフィックの場合です。
インバウンド(入ってくる)トラフィックの場合、内部ネットワークは宛先となるわけですので、上記ACLは送信元と宛先が逆ということになってしまいます。
という感じで「解説して頂きたく」にマッチしてるでしょうか? (^^;
レス一覧
- Re: 問題ID: 24869 について質問です(2018/6/3)
- Re: 問題ID: 24869 について質問です(2018/6/4)
- Re: 問題ID: 24869 について質問です(2018/6/4)
前レス元トピ次レス