本文へスキップ
totonoe

ネットワークを整える

専門

ACLを整える

= 通す/止めるのルールが「上から順」に効く様子が見える

ACL(アクセスコントロールリスト)は、上から順に1行ずつ読まれ、最初に当てはまった行で判定が確定します。どの行にも当てはまらなければ、最後に見えない「暗黙のdeny(すべて拒否)」が働きます。この3原則を、実際にパケットを流しながら目で確かめられます。入力はこの端末から一切出ません(送信ゼロ)。

🔰 かんたんに言うと

入口の警備員のチェックリストです。上から順に照合して、最初に当てはまったルールで「通す/止める」が決まります。

i

TLDR — 30秒で分かる

ACLは上から順・最初の一致で確定・最後は暗黙のdeny。順番を入れ替えると同じパケットでも結果が変わるのが見える。ワイルドカード変換機つき。

主な機能

  • テストパケットを流すと行が順に光り一致行で確定
  • どれにも当たらなければ「暗黙のdeny」が光る
  • 行の順番入れ替えで結果が変わる体験(狭い条件ほど上の鉄則)
  • サブネットマスク⇄ワイルドカードの相互変換計算機
  • 自分を締め出す・全deny等ありがち失敗
  • standard/extendedの違いの一言・送信ゼロ

TRY

① パケットを流してみる — 上から順に光ります

サンプルのACLは3行+暗黙のdeny。送信元IPを選ぶと、上の行から順に「この行に当てはまるか?」がチェックされ、最初に一致した行で確定します(permit=緑/deny=赤)。

送信元IPを選ぶ 選ぶそばから判定(送信ゼロ)
プリセット:

サンプルACL(読み込まれている条文)

seq 10 — deny 10.1.2.0 0.0.0.255

seq 20 — permit 10.1.0.0 0.0.255.255

seq 30 — permit 192.168.1.0 0.0.0.255

(最後に見えない:暗黙の deny any any)

評価の流れ(上から順に。確定した行が光ります)

ORDER

② 順番を入れ替えると結果が変わる — 「狭い条件ほど上に」

同じ3行・同じ送信元IPでも、並び順を変えるだけで判定が変わります。広い条件を先に置くと、狭い条件は永遠に出番が来ません。

並び順を選ぶ 同じ送信元IPで比較

同じIP・同じ3行、順番だけが違う

WILDCARD

③ ワイルドカードマスク計算機 — サブネットマスクと逆さまのビット

ワイルドカードマスクは、サブネットマスクの各ビットを反転させたもの。「0=一致必須」「1=何でもよい」という向きが、サブネットマスクの「1=ネットワーク部」「0=ホスト部」とは逆になる点に注意。

サブネットマスク ⇔ ワイルドカード どちらに入力してもOK
よく使う例:

オクテットごとのビット図解(0=一致必須/1=何でもよい)

読み方

ワイルドカードのビットが 0 の桁は「IPと完全に一致していないとダメ」、1 の桁は「その桁は何でもよい」という意味です。0.0.0.0(全ビット0)はホスト1台だけを指定255.255.255.255(全ビット1)はany(誰でも)を意味します。

PITFALLS

④ ありがちな失敗と直し方

ACLで「思った通りに通らない/全部落ちる」ときは、だいたいこの3つのどれかです。

  1. 1

    全deny(広い拒否)を上に置いて、全部落ちる

    「deny any」やそれに近い広い拒否行を先頭に置くと、それより下の permit 行には永遠に順番が回ってきません。最初に一致した行で確定するため、広い行ほど後ろに置くのが鉄則です(②の「わざと失敗」で体験できます)。

  2. 2

    自分自身を締め出す(リモート先のACLは要注意)

    ルータにSSH/Telnetでリモート接続している状態でACLを適用すると、自分の通信までdenyに巻き込んでしまい、自分から二度と入れなくなることがあります。適用前に自分の送信元IPをpermitする行があるか必ず確認し、可能ならコンソール接続や「reload in 5」(一定時間後に自動で設定を戻す)を保険にします。

  3. 3

    暗黙のdenyを忘れて「permitを書いたのに他が全部落ちた」

    ACLの末尾には、目に見えない暗黙の「deny any any」が必ず存在します。許可したい通信をすべて書いたつもりでも、書き漏らした宛先やプロトコルは自動的に拒否されます。「今まで通ってた通信が急に止まった」の多くは、この書き漏らしが原因です。

standard と extended、何が違う?

standard ACL送信元アドレスだけで判定するシンプルな形。extended ACL は送信元に加えて宛先アドレス・プロトコル(TCP/UDP等)・ポート番号まで条件にできる、より細かい形です。このページの例は考え方を掴むための standard 形式ですが、実務では宛先やポートまで絞れる extended が使われることが多いです。

🔒 判定はすべてあなたのブラウザの中(純JavaScript)で完結します。入力した送信元IPやルールはサーバへ送られません(送信ゼロ)。CCNA『Security Fundamentals』範囲の考え方を、実機なしで確かめるための学習用シミュレーションです。

よくある質問

Q. ACL(アクセスコントロールリスト)とは?

A. ルータやファイアウォールで、通信を通すか止めるかを条件のリストで決める仕組みです。上から順に1行ずつ評価し、最初に一致した行で確定します。

Q. 「暗黙のdeny」とは何ですか?

A. ACLの末尾には目に見えない「すべて拒否」が必ず存在し、どの行にも当てはまらなかった通信はすべて拒否されます。permitを1行も書かないと全部落ちるのはこのためです。

Q. なぜ順番を間違えると結果が変わるのですか?

A. 最初に一致した行で確定するため、広い条件を先に置くと、後ろの狭い条件は永遠に評価されません。「狭い条件ほど上に」が鉄則です。

Q. ワイルドカードマスクとサブネットマスクの違いは?

A. ビットの意味が逆です。サブネットマスクは1=ネットワーク部、ワイルドカードは0=一致必須・1=何でもよい。255.255.255.0⇄0.0.0.255のように反転の関係です。

Q. standard ACLとextended ACLの違いは?

A. standardは送信元アドレスだけで判定します。extendedは宛先アドレス・プロトコル・ポート番号まで条件にできます。

Q. 自分自身を締め出す事故とは?

A. リモート接続中のルータにACLを適用すると、自分の通信もdenyに巻き込まれて再接続できなくなることがあります。適用前に自分のIPを許可する行があるか確認します。

Q. 入力したIPやルールは送信されますか?

A. されません。判定はすべてブラウザ内で完結します(送信ゼロ)。

入力値はURLの「#」以降に入るためサーバーには送信されません。リンクを開くと同じ状態を復元します。

RELATED TOOLS

続けて整える

KOINOBORI ECOSYSTEM

私たちが運営するサイト