ACL：戻りのパケットを拒否したい時

前提・実現したいこと

作っていただいた問題を解いているのですが、うまくいかず困っております。
もしお分かりになられる方がいらっしゃいましたら、お力添えをお願いしたく思っております。
ACLを使って、戻りのパケットを拒否したいです。
establishedに辿り着き、初めて使うので、使い方を間違えているのかもしれません。。。

PC1ーーーーーーーーーーRT-----------------------L2SW---------------------PC2
fa0 　 fa0/0 fa0/1 　fa0/1 fa0/2 　　 fa0
10.0.0.100/24 　 .254 .1 　192.168.1.200 　　 192.168.1.100

＜要件＞
PC1からL2SWへのtelnetを拒否、それ以外の通信は全て許可する。
ただしACLについては、192.168.1.1にin方向で設定すること。

発生している問題・エラーメッセージ

ACLを設定するが、通り抜けてtelnetができてしまう。

該当のソースコード、試したこと

PC1→PC2、PC1→L2SWへのpingは通ります。

RTに設定したもの↓↓
hostname RT

enable password cisco

username admin password 0 cisco

ip domain-name cisco.com

interface FastEthernet0/0
ip address 10.0.0.254 255.255.255.0

interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip access-group no-telnet in

ip access-list extended no-telnet
deny tcp host 10.0.0.100 host 192.168.1.200 established
permit ip any any

line vty 0 4
password cisco
login

crypto key generate rsa → 1024

補足情報（FW/ツールのバージョンなど）

L2SWに設定したもの↓↓

hostname L2SW

enable password cisco

ip domain-name ciso.com

username cisco privilege 1 password 0 cisco

interface FastEthernet0/2
switchport mode access

interface Vlan1
ip address 192.168.1.200 255.255.255.0

ip default-gateway 192.168.1.1

line vty 0 4
password cisco
login
line vty 5 15
login

crypto key generate rsa → 1024

行動規範の内容に同意します

回答1件

ベストアンサー

ACLのSrcとDsrが逆では無いですか？
deny tcp host 192.168.1.200 host 10.0.0.100 established

RTのfa0/1のin方向にACLを設定するなら、送信元はL2SWになるはずなので。

投稿2021/04/15 04:40

taichi_0807

総合スコア252

notsuki

2021/04/15 04:59 編集

ご回答ありがとうございます。逆に設定をしてみたところ、 connection timed out; remote host not responding となるようになりました。期待としては、 connection refused by remote host となるのかなぁと思っているのですが。。。それから、eq23を入れるのも忘れていました。すみません。

taichi_0807

2021/04/15 06:10

タイムアウトのレスポンスは正しいと思います。 PC1からL2SWに接続を試みるものの、途中のRTでパケットが落とされて、レスポンスがないからです。拒絶のレスポンスは何らかの仕組みで（※）L2SWから出さないとでないのではないでしょうか。 ※例えば、L2SWのline vty 0 4にACLを設定して、そこでPC1からの接続を拒否するなど

notsuki

2021/04/15 07:00

ご返信ありがとうございます。タイムアウトのレスポンスは正しいのですね。そうなるとここでまた疑問点が出てきまして。。。 ①いただいた文のestablishedの前にeq 23を追加したところ、telnetがつながってしまうようになった。 ②今回の構成図で、・L2SW部分を消してPC2のみにした（いただいた文に変更せずに）ところ以下のようになった。　→connection refused by remote host ・L2SWとPC２の代わりにルータを設置したところ以下のようになった。　→connection to 192.168.1.200 closed by foreign host ①、②から、L2SWが関係することによってうまくいかなくなっているのか？ということと、特にsrcとdsrを変更しなくても意図通りには動くのかな、と思っているのですが・・・ (戻りのパケットを拒否するためのin方向指定なので・・・）認識不足でしたら申し訳ございません。使用しているのがpacket tracerなので、実機とは動きが異なるのかもしれません。。すっきりと納得できないお返事で申し訳ありません。。

taichi_0807

2021/04/15 11:44

L2SWからの戻りの通信を拒否したいということなので、ポート番号を記載するなら以下の書き方ではないでしょうか。 deny tcp host 192.168.1.200 eq telnet host 10.0.0.100 established

notsuki

2021/05/06 09:33

お返事が遅くなり、大変申し訳ございませんでした。作って頂いた方に聞いたところ、taichi_0807さまの仰る通りでした。ご丁寧にお答えくださり、大変ありがとうございました。

行動規範の内容に同意します