Итак, предположим, что у меня есть список доступа для входящего трафика, который выглядит так:
access-list outside_in extended ip permit any X.Y.Z.1 eq 25
access-group outside_in in interface outside
И я хочу выполнить фильтрацию исходящего трафика. Я хочу разрешить внутренним машинам отвечать на порт 80, и я хочу разрешить порты более 1024. Учитывая, что брандмауэр сохраняет состояние, мне нужно иметь правило
access-list inside_in extended ip permit X.Y.Z.1 any eq 25
в моем ACL inside_in, или я могу уйти просто
access-list inside_in extended ip permit any any gt 1024
access-group inside_in in interface inside
Другими словами, если я применяю исходящий список доступа, должен ли я явно разрешать машинам отвечать на запросы, разрешенные входным списком доступа, или это выполняется за меня благодаря полноте состояния брандмауэра?
Спасибо!
Как только TCP-соединение установлено, поток трафика был оценен и разрешен, что учитывается в течение времени существования потока; правило выхода не потребуется.
Проще говоря: при построении правил для TCP-соединений вам просто нужно подумать о пути, по которому пойдет первый SYN. Создайте списки ACL, которые разрешили бы те и только те SYN, которые вы считаете приемлемыми, а брандмауэр позаботится обо всем остальном.
Я рекомендую придерживаться только правил входа, если у вас нет веских оснований поступить иначе. Этот пример не похож на один.