Вскоре я окажусь в ситуации, когда мне нужно будет обновлять брандмауэр на лету. Как обновлять списки доступа cisco ASA на лету? Например, если я начну с:
access-list outside_in extended ip deny any any
access-list outside_in extended tcp deny any any
access-list outside_in extended udp deny any any
access-list outside_in extended icmp deny any any
(Немного резковато, я знаю, но потерпите меня. Из любопытства, есть ли более простой способ все отрицать?)
а потом
access-group outside_in in interface DMZ
тогда как мне позже обновить список доступа, чтобы открыть, скажем, порт 80? Если не считать переписывания всего списка доступа. Я не могу просто добавить правило, потому что пакеты будут запрещены предыдущими правилами. Итак, я предполагаю, что я спрашиваю, как мне добавить правило в начало списка доступа?
Спасибо!
Добавление line x в строку после имени ACL вставит его в эту точку списка.
Итак, если у вас есть:
access-list outside_in extended udp deny any any
access-list outside_in extended icmp deny any any
и вы бежите:
access-list outside_in line 2 extended tcp deny any any
ваша конфигурация будет иметь следующий вид:
access-list outside_in extended udp deny any any
access-list outside_in extended tcp deny any any
access-list outside_in extended icmp deny any any
IP включает udp, tcp и icmp; блокировка IP заблокирует все это. Итак, в вашей конфигурации выше будет задействовано только верхнее правило.
По умолчанию Cisco ASA отрицает все, что не является явно разрешается. Итак, в вашем случае вы могли бы отлично сделать:
access-list OUTSIDE_IN permit tcp any any eq 80
access-group OUTSIDE_IN interface DMZ
и по умолчанию все остальное будет отклонено. Есть неявный запретить IP любой в конце вашего списка доступа.
Вам понадобится только и явный deny ip any any, если вы хотите узнать количество пакетов, попавших в список доступа.