解決済み: Re: アクセスリストによって拒否されたTCP通信

fxlateengineer · ‎2018-03-06

お世話になっております。

アクセスリストを使用して下記のような設定をしていたとします。

ip access-list extended EXTERNAL-INTERNET
remark *** WEB ***
permit tcp host 192.168.1.5 any eq 443

!

上記アクセスリストでは、送信元IPアドレス192.168.1.5、あて先IPアドレスAny、TCP443の通信のみ許可されますが、許可されていない内部クライアントがTCP443通信をした場合、ルータがFINパケットを送ってTCPセッションがクローズする動作は正しいでしょうか？

AGE OUTが正しいようにも思いますがいかがでしょうか。

shimazaki_05 · ‎2018-03-22

こんにちわ。
CCIE 受験に失敗し、失意の中、勉強中にこの書き込みをみました。
気になったので、試験してみたのですが、ルータからは、FIN パケットは送らないですね。
ACLで、reject後、icmp unreachableを返す動作のようです。

*Mar 22 05:30:43.761: IP: s=172.16.0.1 (Ethernet1/0), d=192.168.0.1, len 44, input feature
*Mar 22 05:30:43.761: TCP src=11005, dst=21, seq=1038004755, ack=0, win=16000 SYN, packet consumed, Access List(42), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Mar 22 05:30:51.761: IP: s=172.16.0.1 (Ethernet1/0), d=192.168.0.1, len 44, access denied
*Mar 22 05:30:51.761: TCP src=11005, dst=21, seq=1038004755, ack=0, win=16000 SYN
*Mar 22 05:30:51.761: FIBipv4-packet-proc: route packet from Ethernet1/0 src 172.16.0.1 dst 192.168.0.1
*Mar 22 05:30:51.761: FIBfwd-proc: packet routed by adj to Ethernet0/0 192.168.0.1
*Mar 22 05:30:51.761: FIBipv4-packet-proc: packet routing succeeded
*Mar 22 05:30:51.761: FIBipv4-packet-proc: route packet from (local) src 172.16.0.2 dst 172.16.0.1
*Mar 22 05:30:51.761: FIBfwd-proc: packet routed by adj to Ethernet1/0 172.16.0.1
*Mar 22 05:30:51.761: IP: s=172.16.0.2 (local), d=172.16.0.1 (Ethernet1/0), len 56, sending
*Mar 22 05:30:51.761: ICMP type=3, code=13

元の投稿で解決策を見る

shimazaki_05 · ‎2018-03-22

こんにちわ。
CCIE 受験に失敗し、失意の中、勉強中にこの書き込みをみました。
気になったので、試験してみたのですが、ルータからは、FIN パケットは送らないですね。
ACLで、reject後、icmp unreachableを返す動作のようです。

*Mar 22 05:30:43.761: IP: s=172.16.0.1 (Ethernet1/0), d=192.168.0.1, len 44, input feature
*Mar 22 05:30:43.761: TCP src=11005, dst=21, seq=1038004755, ack=0, win=16000 SYN, packet consumed, Access List(42), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Mar 22 05:30:51.761: IP: s=172.16.0.1 (Ethernet1/0), d=192.168.0.1, len 44, access denied
*Mar 22 05:30:51.761: TCP src=11005, dst=21, seq=1038004755, ack=0, win=16000 SYN
*Mar 22 05:30:51.761: FIBipv4-packet-proc: route packet from Ethernet1/0 src 172.16.0.1 dst 192.168.0.1
*Mar 22 05:30:51.761: FIBfwd-proc: packet routed by adj to Ethernet0/0 192.168.0.1
*Mar 22 05:30:51.761: FIBipv4-packet-proc: packet routing succeeded
*Mar 22 05:30:51.761: FIBipv4-packet-proc: route packet from (local) src 172.16.0.2 dst 172.16.0.1
*Mar 22 05:30:51.761: FIBfwd-proc: packet routed by adj to Ethernet1/0 172.16.0.1
*Mar 22 05:30:51.761: IP: s=172.16.0.2 (local), d=172.16.0.1 (Ethernet1/0), len 56, sending
*Mar 22 05:30:51.761: ICMP type=3, code=13

fxlateengineer · ‎2018-03-22

shimazaki_05様

詳細な動作検証結果をお教え下さり誠にありがとうございました。とても参考になりました。

CCIEを目指す方は、些細なことでも検証されるんですね。その努力の積み重ねがCCIE取得の近道になるよう心から願っております。

この度は誠にありがとうございました。

shimazaki_05 · ‎2018-03-23

こんにちわ

解決してよかったです！

また、激励のお言葉ありがとうございます。

次回は、パスするよう継続して勉強を続けたいと思います。