インフラエンジニアをしていて、ネットワーク機器も触ることがあるんですが、中には設定が入っているけど意味がない設定をしているケースがあったりします。
例えば、Linuxのiptablesで、大きく許可範囲を広げすぎて、細かいフィルタ設定が意味がない場合など。
動作検証をしっかりしていたら気づきますが、中々できない場合もあるんでしょうね。そして、Ciscoルータ、スイッチでIFにip access-groupが適用されていないとACL設定の意味がないケースもちらほらあります。
例えば、以下のようなアクセスリストが定義してあっても、IFに適用していなければ意味がありません。
Router(config)#access-list 10 deny host 10.0.0.10
Router(config)#interface gigabitethernet 0/0
Router(config-if)#ip access-group 1 in
Ciscoの場合は、適用するインターフェースと合わせて、適用方向(in out)を考える必要があります。 そして、作成したアクセスリストの適用場所は、標準IPアクセスリストの場合は、宛先近くのルータに適用し、拡張IPアクセスリストの場合は、送信元近くのルータに適用します。
また、Ciscoの場合は、ACLの最後に暗黙のdenyが入ります。
こういった設定のし忘れがフィルターが制御されていないという事態に陥るので注意が必要です。
