ネットワークを整える
専門ACLを整える。
= 通す/止めるのルールが「上から順」に効く様子が見える
ACL(アクセスコントロールリスト)は、上から順に1行ずつ読まれ、最初に当てはまった行で判定が確定します。どの行にも当てはまらなければ、最後に見えない「暗黙のdeny(すべて拒否)」が働きます。この3原則を、実際にパケットを流しながら目で確かめられます。入力はこの端末から一切出ません(送信ゼロ)。
🔰 かんたんに言うと
入口の警備員のチェックリストです。上から順に照合して、最初に当てはまったルールで「通す/止める」が決まります。
TLDR — 30秒で分かる
ACLは上から順・最初の一致で確定・最後は暗黙のdeny。順番を入れ替えると同じパケットでも結果が変わるのが見える。ワイルドカード変換機つき。
主な機能
- テストパケットを流すと行が順に光り一致行で確定
- どれにも当たらなければ「暗黙のdeny」が光る
- 行の順番入れ替えで結果が変わる体験(狭い条件ほど上の鉄則)
- サブネットマスク⇄ワイルドカードの相互変換計算機
- 自分を締め出す・全deny等ありがち失敗
- standard/extendedの違いの一言・送信ゼロ
TRY
① パケットを流してみる — 上から順に光ります
サンプルのACLは3行+暗黙のdeny。送信元IPを選ぶと、上の行から順に「この行に当てはまるか?」がチェックされ、最初に一致した行で確定します(permit=緑/deny=赤)。
サンプルACL(読み込まれている条文)
seq 10 — deny 10.1.2.0 0.0.0.255
seq 20 — permit 10.1.0.0 0.0.255.255
seq 30 — permit 192.168.1.0 0.0.0.255
(最後に見えない:暗黙の deny any any)
評価の流れ(上から順に。確定した行が光ります)
ORDER
② 順番を入れ替えると結果が変わる — 「狭い条件ほど上に」
同じ3行・同じ送信元IPでも、並び順を変えるだけで判定が変わります。広い条件を先に置くと、狭い条件は永遠に出番が来ません。
同じIP・同じ3行、順番だけが違う
WILDCARD
③ ワイルドカードマスク計算機 — サブネットマスクと逆さまのビット
ワイルドカードマスクは、サブネットマスクの各ビットを反転させたもの。「0=一致必須」「1=何でもよい」という向きが、サブネットマスクの「1=ネットワーク部」「0=ホスト部」とは逆になる点に注意。
オクテットごとのビット図解(0=一致必須/1=何でもよい)
読み方
ワイルドカードのビットが 0 の桁は「IPと完全に一致していないとダメ」、1 の桁は「その桁は何でもよい」という意味です。0.0.0.0(全ビット0)はホスト1台だけを指定、255.255.255.255(全ビット1)はany(誰でも)を意味します。
PITFALLS
④ ありがちな失敗と直し方
ACLで「思った通りに通らない/全部落ちる」ときは、だいたいこの3つのどれかです。
- 1
全deny(広い拒否)を上に置いて、全部落ちる
「deny any」やそれに近い広い拒否行を先頭に置くと、それより下の permit 行には永遠に順番が回ってきません。最初に一致した行で確定するため、広い行ほど後ろに置くのが鉄則です(②の「わざと失敗」で体験できます)。
- 2
自分自身を締め出す(リモート先のACLは要注意)
ルータにSSH/Telnetでリモート接続している状態でACLを適用すると、自分の通信までdenyに巻き込んでしまい、自分から二度と入れなくなることがあります。適用前に自分の送信元IPをpermitする行があるか必ず確認し、可能ならコンソール接続や「reload in 5」(一定時間後に自動で設定を戻す)を保険にします。
- 3
暗黙のdenyを忘れて「permitを書いたのに他が全部落ちた」
ACLの末尾には、目に見えない暗黙の「deny any any」が必ず存在します。許可したい通信をすべて書いたつもりでも、書き漏らした宛先やプロトコルは自動的に拒否されます。「今まで通ってた通信が急に止まった」の多くは、この書き漏らしが原因です。
standard と extended、何が違う?
standard ACL は送信元アドレスだけで判定するシンプルな形。extended ACL は送信元に加えて宛先アドレス・プロトコル(TCP/UDP等)・ポート番号まで条件にできる、より細かい形です。このページの例は考え方を掴むための standard 形式ですが、実務では宛先やポートまで絞れる extended が使われることが多いです。
🔒 判定はすべてあなたのブラウザの中(純JavaScript)で完結します。入力した送信元IPやルールはサーバへ送られません(送信ゼロ)。CCNA『Security Fundamentals』範囲の考え方を、実機なしで確かめるための学習用シミュレーションです。
よくある質問
Q. ACL(アクセスコントロールリスト)とは?
A. ルータやファイアウォールで、通信を通すか止めるかを条件のリストで決める仕組みです。上から順に1行ずつ評価し、最初に一致した行で確定します。
Q. 「暗黙のdeny」とは何ですか?
A. ACLの末尾には目に見えない「すべて拒否」が必ず存在し、どの行にも当てはまらなかった通信はすべて拒否されます。permitを1行も書かないと全部落ちるのはこのためです。
Q. なぜ順番を間違えると結果が変わるのですか?
A. 最初に一致した行で確定するため、広い条件を先に置くと、後ろの狭い条件は永遠に評価されません。「狭い条件ほど上に」が鉄則です。
Q. ワイルドカードマスクとサブネットマスクの違いは?
A. ビットの意味が逆です。サブネットマスクは1=ネットワーク部、ワイルドカードは0=一致必須・1=何でもよい。255.255.255.0⇄0.0.0.255のように反転の関係です。
Q. standard ACLとextended ACLの違いは?
A. standardは送信元アドレスだけで判定します。extendedは宛先アドレス・プロトコル・ポート番号まで条件にできます。
Q. 自分自身を締め出す事故とは?
A. リモート接続中のルータにACLを適用すると、自分の通信もdenyに巻き込まれて再接続できなくなることがあります。適用前に自分のIPを許可する行があるか確認します。
Q. 入力したIPやルールは送信されますか?
A. されません。判定はすべてブラウザ内で完結します(送信ゼロ)。
入力値はURLの「#」以降に入るためサーバーには送信されません。リンクを開くと同じ状態を復元します。
RELATED TOOLS
続けて整える