センチュリー・システム社のNXRシリーズのアクセスリストには、
ip access-group in [アクセスリスト名]
ip access-group forward-in [アクセスリスト名]
の2種類の表記の仕方がある。
「in」と「forward-in / forward-out」の違いを記載する。
- ip access-group in [アクセスリスト名]
ルーター宛てに送信されたパケットでルーター自身で処理する。
例えばTelnetが該当する。
記載例:Telnet適用時 (Telnet接続は192.168.10.100からのみ許可)
nxr120(config)#ip access-list eth0_telnet permit 192.168.10.100 192.168.10.1 tcp any 23
nxr120(config)#ip access-list eth0_telnet deny any 192.168.10.1 tcp any 23
nxr120(config)#interface ethernet 0
nxr120(config-if)#ip address 192.168.10.1/24
nxr120(config-if)#ip access-group in eth0_telnet
- ip access-group forward-in [アクセスリスト名]
ルータが内部転送(ルーティング)するパケットを制御するときに利用する。
適用例:Ethernet 0から入ってきたport 80の通信は許可するが、port23の通信は許可しない。
nxr120(config)#ip access-list eth0_forward-in permit any 192.168.20.10 tcp any 80
nxr120(config)#ip access-list eth0_forward-in deny any 192.168.20.20 tcp any 23
nxr120(config)#interface ethernet 0
nxr120(config-if)#ip address 192.168.10.1/24
nxr120(config-if)#ip access-group forward-in eth0_forward-in
nxr120(config-if)#exit
nxr120(config)#interface ethernet 1
nxr120(config-if)#ip address 192.168.20.1/24