Мне нужно изменить существующую конфигурацию CISCO ASA. При анализе конфигурации я заметил кое-что, что мне кажется лишним. Хотелось бы узнать, подтвердит ли кто-нибудь мои сомнения.
access-list LANA_access_in extended permit ip any any log debugging inactive
access-list LANA_access_in extended permit icmp any any log debugging inactive
access-list LANA_access_in extended permit icmp 172.12.10.0 255.255.255.0 10.5.83.0 255.255.255.0
access-list LANA_access_in extended permit ip 172.12.10.0 255.255.255.0 10.5.83.0 255.255.255.0
...
access-group LANA_access_in in interface LAN_A_Lan
Правильно ли я, что после первых двух строк вторые две строки полностью лишены?
И чтобы все было еще лучше, есть эта часть конфигурации
access-list global_access extended permit ip any any log debugging inactive
access-list global_access extended permit icmp any any log debugging inactive
...
access-group global_access global
Если я правильно понимаю, это разрешит весь входящий трафик на всех портах, и ранее упомянутые две конкретные линии являются "двойными" избыточными.
Мои предположения верны?
Ваше предположение неверно. В inactive Ключевое слово означает именно то, что оно говорит: данная запись неактивна, отключена, не используется, игнорируется обработкой пакетов.
Эти две строчки предназначены для быстрого расследования. Если администратор чувствует необходимость отслеживать все пакеты через этот ACL, он может просто удалить inactive атрибут с первого access-list запись, и ASA разрешит и регистрирует все прибывающие IP-пакеты. Когда расследование будет завершено, она поставит inactive обратно, и исходный набор правил снова будет в силе.