ACL（established）

このページで解説している内容は、以下の YouTube 動画の解説で見ることができます。

　ネットワークの構成を Packet Tracer で一から設定していくのは大変かと思います。「ダウンロード」から演習で使用するファイルのダウンロードができます。ファイルは、McAfee インターネットセキュリティでウイルスチェックをしておりますが、ダウンロードは自己責任でお願いいたします。

演習ファイルのダウンロード

ACL（established）ダウンロード

　アクセスリストでフィルタリングの設定を行う際に、「内部から発信する通信の戻りのパケットは許可したいが、外部からは、拒否したい」というケースがあります。この場合、「established」キーワードを使うことにより、簡単に実現することができます。

TCPのコネクションの確立の様子は、以下のようになります。これを3ウェイハンドシェイクと言います。

TCPにおける通信のやり取りでは、SYN、ACKを使ってコネクションを確立します。

ここで注目して欲しいのは、コネクション確立の最初のパケットには、ACKが付いていません。

2番目以降のパケットには、全てACKが付いています。

　つまり、外部から来るパケットでACKが付いていないもを拒否する設定ができれば、内部からの通信は、自由にし、外部からの通信は、内部から通信の戻りパケットだけを通すことができそうです。

　それを可能にするオプションが「established」です。「established」は、英語の意味で、「確立した」という意味があります。内部からコネクションが張られた通信だけ通すことができます。

　「established」キーワードを指定することで、ACK または RSTビットの立っているパケットだけを許可するようになります。これは、内部ネットワーク（インバウンド）から発信したトラフィックの戻りのTCPトラフィックのみを許可することを意味します。

　「established」オプションは、3ウェイハンドシェイクの仕組みを利用したフィルタリングなので、UDPでは使えないので注意して下さい。

それでは、実際に下図のネットワークを構築して検証していきます。

基本設定

まず、各ルータのホスト名とIPv4アドレス、RIPv2などの基本設定を行います。

各ルータの基本コンフィグは、以下のとおりです。

●R1のコンフィグ
enable
conf t
hostname R1
int g0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
int s0/0/0
ip address 192.168.2.1 255.255.255.0
clock rate 64000
bandwidth 64
no shutdown
exit
router rip
version 2
network 192.168.1.0
network 192.168.2.0
end
copy run start

●R2のコンフィグ
enable
conf t
hostname R2
int s0/0/0
ip address 192.168.2.2 255.255.255.0
bandwidth 64
no shutdown
int g0/0
ip address 192.168.3.1 255.255.255.0
no shutdown
exit
router rip
version 2
network 192.168.2.0
network 192.168.3.0
end
copy run start

拡張IPアクセスリスト

●R1ルータのアクセスリストの設定

　ルーティングプロトとコルに、RIPv2を使用しているため、R2ルータからのRIPv2アップデートを許可する「permit udp host 192.168.2.2 host 224.0.0.9」を拡張IPアクセスリストに加えています。

R1(config)#access-list 100 permit tcp any any established
R1(config)#access-list 100 permit udp host 192.168.2.2 host 224.0.0.9
R1(config)#access-list 100 permit icmp any any echo-reply
R1(config)#access-list 100 permit icmp any any unreachable

R1(config)#int s0/0/0
R1(config-if)#ip access-group 100 in