Мне интересно, что означает этот список доступа на ASA 5555-X?
список доступа TEST_INSIDE расширенное разрешение udp host 192.168.1.99 eq 7600 host 192.168.1.1
Меня смущает часть «eq 7600», поскольку я обычно вижу ее в конце ACL, а не в середине.
Заранее спасибо!
Я прочитал этот ACE как представляющий «любой трафик UDP с 192.168.1.99 на 192.168.1.1, при условии, что это пришло из порт 7600".
Трафик TCP и UDP имеет адрес / порт источника и адрес / порт назначения. Клиент привязывается к исходному порту на собственном сетевом адаптере, а затем к целевому порту на адаптере сервера. Сервер отправляет ответ на собственный порт клиента.
Списки доступа отражают это, также имея кортеж как адрес / порт источника, так и адрес / порт назначения. Однако вы можете опустить любое значение порта в access-list линия. Это упущение означает "любой порт ".
В access-list где eq 7600 часть находится в конец строки, это будет означать, что место назначения порт должен был быть 7600. Я согласен, что это чаще встречается при разрешении трафика через брандмауэр, потому что обычно сервер прослушивает один явный порт (например, веб-сервер на TCP / 80), а клиент делает запрос, привязываясь к любому эфемерному порту в собственном сетевом стеке.
Однако возможно, что это правило было разработано, чтобы разрешить протокол службы, в котором сервер открывает динамический порт и говорит клиенту какой порт он открыл. FTP в активном режиме - хороший пример такого протокола (хотя он обычно исходит из TCP / 20, а не UDP / 7600). С таким протоколом администратор брандмауэра не может заранее знать, какой порт откроет сервер, и поэтому должен открыть их все. Однако многие лучшие брандмауэры могут проверять известные протоколы, определять, когда это происходит, и динамически открывать порты только для порта, отправленного сервером. Cisco называет это политикой проверки или исправлением (в зависимости от модели / версии). Однако не все протоколы (особенно зашифрованный / TLS-трафик) можно проверить.
Конечно, что это access-list фактически средство будет зависеть от того, к чему он привязан. Если он привязан к интерфейсу с access-group , это будет означать, что только этому трафику разрешено входить (или выходить) из этого интерфейса. Однако именно этот access-list мог использоваться для описания фильтра захвата пакетов или даже соответствия политике для свойств, зависящих от соединения, таких как keep-alive или качество обслуживания.
Вы должны просмотреть свою конфигурацию, чтобы найти какие-либо другие строки, которые явно ссылаются на это TEST_INSIDE название. Это может дать дополнительный контекст.
(Если вас попросят угадать, я бы предположил, что это правило могло быть написано для реализации потокового видео или службы VOiP - они могут быть довольно динамичными и, как правило, использовать UDP, но это является просто предположение.)