このページで解説している内容は、以下の YouTube 動画の解説で見ることができます。
ネットワークの構成を Packet Tracer で一から設定していくのは大変かと思います。「ダウンロード」から演習で使用するファイルのダウンロードができます。ファイルは、McAfee インターネットセキュリティでウイルスチェックをしておりますが、ダウンロードは自己責任でお願いいたします。
演習ファイルのダウンロード
ACL(established)
アクセスリストでフィルタリングの設定を行う際に、「内部から発信する通信の戻りのパケットは許可したいが、外部からは、拒否したい」というケースがあります。この場合、「established」キーワードを使うことにより、簡単に実現することができます。
TCPのコネクションの確立の様子は、以下のようになります。これを3ウェイハンドシェイクと言います。

TCPにおける通信のやり取りでは、SYN、ACKを使ってコネクションを確立します。
ここで注目して欲しいのは、コネクション確立の最初のパケットには、ACKが付いていません。
2番目以降のパケットには、全てACKが付いています。
つまり、外部から来るパケットでACKが付いていないもを拒否する設定ができれば、内部からの通信は、自由にし、外部からの通信は、内部から通信の戻りパケットだけを通すことができそうです。
それを可能にするオプションが「established」です。「established」は、英語の意味で、「確立した」という意味があります。内部からコネクションが張られた通信だけ通すことができます。
「established」キーワードを指定することで、ACK または RSTビットの立っているパケットだけを許可するようになります。これは、内部ネットワーク(インバウンド)から発信したトラフィックの戻りのTCPトラフィックのみを許可することを意味します。
「established」オプションは、3ウェイハンドシェイクの仕組みを利用したフィルタリングなので、UDPでは使えないので注意して下さい。
それでは、実際に下図のネットワークを構築して検証していきます。

基本設定
まず、各ルータのホスト名とIPv4アドレス、RIPv2などの基本設定を行います。
各ルータの基本コンフィグは、以下のとおりです。
●R1のコンフィグ
enable
conf t
hostname R1
int g0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
int s0/0/0
ip address 192.168.2.1 255.255.255.0
clock rate 64000
bandwidth 64
no shutdown
exit
router rip
version 2
network 192.168.1.0
network 192.168.2.0
end
copy run start
●R2のコンフィグ
enable
conf t
hostname R2
int s0/0/0
ip address 192.168.2.2 255.255.255.0
bandwidth 64
no shutdown
int g0/0
ip address 192.168.3.1 255.255.255.0
no shutdown
exit
router rip
version 2
network 192.168.2.0
network 192.168.3.0
end
copy run start
拡張IPアクセスリスト
●R1ルータのアクセスリストの設定
ルーティングプロトとコルに、RIPv2を使用しているため、R2ルータからのRIPv2アップデートを許可する「permit udp host 192.168.2.2 host 224.0.0.9」を拡張IPアクセスリストに加えています。
R1(config)#access-list 100 permit tcp any any established
R1(config)#access-list 100 permit udp host 192.168.2.2 host 224.0.0.9
R1(config)#access-list 100 permit icmp any any echo-reply
R1(config)#access-list 100 permit icmp any any unreachable
R1(config)#int s0/0/0
R1(config-if)#ip access-group 100 in
動作検証
Ping による疎通確認
・PC1からPC2へにPingを行います。
C:>ping 192.168.3.10

Ping は成功します。それは、ICMP のEcho要求の応答であるEcho応答が、拡張ACLの「echo-reply」で許可されているからです。
・PC2からPC1へにPingを行います。
C:>ping 192.168.1.10

Ping は失敗します。それは、ICMP のEcho要求が、拡張ACLで許可されていないからです。
HTTP 接続の確認
・PC1から、Server2のWWWサーバに接続します。
PC1の「Web Browser」を開きます。URLに「http://192.168.3.100」に入力し。「Go」ボタンをクリックします。

http接続は成功し、ホームページが表示されます。
・PC2から、Server1のWWWサーバに接続します。
PC2の「Web Browser」を開きます。URLに「http://192.168.1.100」に入力し。「Go」ボタンをクリックします。

http接続は、リクエストがタイムアウトします。
このように、「established」キーワードは、「内部から発した通信は許可したいが、外部からの通信は、拒否したい」というケースに役に立つオプションであると言えます。
演習ファイルのダウンロード
ネットワークの構成を Packet Tracer で一から設定していくのは大変かと思います。「ダウンロード」から演習で使用するファイルのダウンロードができます。ファイルは、McAfee インターネットセキュリティでウイルスチェックをしておりますが、ダウンロードは自己責任でお願いいたします。