Итак, небольшая проблема, которая у нас есть, заключается в том, что любые внутренние серверы, у которых нет (не icmp) доступа к внешнему, блокируются. Наша текущая конфигурация:
inside_access_in any ---> any ---> icmp
inside_access_out any ---> any ---> ip
Я понимаю, что если я добавлю «any - any - ip» к inside_access_in, это, вероятно, решит проблему, верно? мой главный вопрос, почему?
в чем разница между inside_access_in и inside_access_out?
добавит "any -> any -> ip" к "inside_access_in" предоставит дополнительный доступ из внешнего мира к внутренним интерфейсам - чего я не хочу делать ..
вот sh run access-group;
sh run access-group
access-group inside_access_in in interface inside
access-group inside_access_out out interface inside
access-group outside_access_in in interface outside
в чем разница между inside_access_in и inside_access_out?
Inside_access_in и Inside_access_out - это просто понятные имена для ваших списков доступа.
В вашем случае Inside_access_in - это список доступа «Входящий», а inside_access_out - список доступа «Исходящий». Входящий список доступа применяется к трафику, когда он ВХОДИТ в этот интерфейс. И наоборот, список исходящего доступа применяется к трафику, когда он ВЫХОДИТ из этого интерфейса. Поэтому, если вы примените список входящего доступа к своему внутреннему интерфейсу, он будет применяться к трафику, который входит во внутренний интерфейс из внутренней сети. Есть смысл?
В настоящее время ваша конфигурация предотвращает попадание любого не-icmp трафика во внутренний интерфейс брандмауэра.
Я понимаю, что если я добавлю «any - any - ip» к inside_access_in, это, вероятно, решит проблему, верно? мой главный вопрос, почему?
Да, это правильно, как я упоминал ранее, в настоящее время вы разрешаете трафику ICMP ТОЛЬКО входить во внутренний интерфейс из внутренней сети, вам необходимо разрешить другие типы трафика.
добавит "any -> any -> ip" к "inside_access_in" предоставит дополнительный доступ из внешнего мира к внутренним интерфейсам - чего я не хочу делать ..
Нет, это не позволит дополнительный трафик извне. Однако это позволит ВСЕМ трафику из вашего внутреннего интерфейса выходить наружу, это может быть или не быть тем, что вы хотите.
Обычно вы устанавливаете список входящего доступа на своем внутреннем интерфейсе, чтобы разрешать только те типы трафика, которые вы действительно хотите покинуть из сети и получить доступ к внешнему миру.
Кроме того, я вижу, что вы используете списки доступа для исходящих сообщений, и думаю, что это является источником большей части вашего замешательства. Вы должны использовать исходящие списки доступа только в том случае, если у вас есть вариант использования, который этого требует. По умолчанию Cisco ASA разрешает весь трафик от интерфейса с более высокой степенью защиты (Внутренний) до интерфейса с более низким уровнем защиты (Внешний). Если вы правильно установили уровни безопасности, это сделает ваш текущий список доступа для исходящей почты полностью избыточным. Я предлагаю вам внимательно прочитать эту статью Cisco, поскольку она объясняет ваши текущие проблемы.
http://www.cisco.com/c/en/us/td/docs/security/asa/asa70/configuration/guide/config/nwaccess.html