Я много делаю, основываясь на своей памяти, и, возможно, я не прав во всем этом.
На Cisco 851 (IOS), который использует BVI или мостовой маршрут (внутренние серверы настроены со статическими и общедоступными IP-адресами). Я бы применил два списка доступа (оба заканчиваются на deny ip any any log) на FastEthernet4 (порт WAN). Был бы один для FA4 в и еще один для FA4 вне.
FA4 вне будет строка вроде
access-list 110 permit 98.76.54.0 0.0.0.255 gt 1023 any eq http
Я думаю, это означает, что с 98.76.54. * С портом from не менее 1024 можно подключиться к любой другой машине с портом назначения 80.
Итак, я должен разрешить ответ на HTTP-соединение.
FA4 в будет строка вроде
access-list 120 permit any eq http 98.76.54.0 0.0.0.255 gt 1023
Теперь проблема в том, что кто-либо снаружи может установить свой порт с порта на порт 80, а затем подключиться к любому внутреннему порту, который имеет размер не менее 1024.
Как мы можем предотвратить это и требовать, чтобы входящие данные были ответом на исходящие.
Вы захотите разрешить любые установленные соединения, например:
access-list 120 permit tcp any 98.76.54.0 0.0.0.255 established
https://supportforums.cisco.com/docs/DOC-1870;jsessionid=CDF341D626FB4FBBF03859E5610B0344.node0