Вы можете разрешить исходящие пакеты, но тогда вам нужно разрешить ответы. Один из способов - разрешить любой пакет, который является продолжением установленного соединения.
access-list ??? permit tcp any any established
Но как это работает? Проверяет established хватит на конфиг NAT? Интересно, должен ли я создать конкретное заблокированное правило для каждой группы пакетов ответа, например, у меня это может быть для исходящих. (список доступа для Vlan1 IN)
access-list ??? permit tcp 192.168.1.0 0.0.0.255 gt 1023 any eq www
и это за ответ. (список доступа для FastEthernet4 IN)
access-list ??? permit tcp any eq www --WAN IP-- gt 1023 established
Есть ли лучшая безопасность при добавлении одного permit established правило для каждого permit исходящее правило? Или я просто снижаю производительность, когда это делаю?
Учитывая, что внутри Vlan1 и снаружи Fa4, я так понимаю, вы работаете над серией 8xx?
Вместо того, чтобы работать established используйте функцию контроля доступа на основе контекста брандмауэра IOS или CBAC.
С deny ip any any или эквивалент на внешнем интерфейсе - как вы заявили, должен существовать какой-то способ разрешить законный трафик, инициированный изнутри -> снаружи, чтобы вернуться, не прибегая к вульгарной лексике или permit ip any any. established - это один из методов, но довольно загадочный, поскольку он работает только с TCP, вызывая небольшую головную боль для UDP. Вместо этого с CBAC, который включает ip inspect вы можете достичь цели без ACE с участием established ключевое слово. ACL все еще можно использовать во внешнем интерфейсе, но они не требуются для этой конкретной цели.
Обратите внимание, что CBAC также имеет возможность выполнять шлюз прикладного уровня (ALG) / исправлять протоколы, которые нарушают границы межсетевого экрана и NAT. В приведенных ниже примерах я приведу несколько примеров.
Самый простой способ - определить контрольный набор CBAC, а затем применить его в обоих in и out направления на внешнем интерфейсе.
Сначала определены общие tcp и udp чтобы заставить работать общий трафик tcp и udp. Потом несколько ALG
! Define CBAC inspection group in global configuration mode
ip inspect name outside_inspection tcp
ip inspect name outside_inspection udp
ip inspect name outside_inspection ftp
ip inspect name outside_inspection tftp
ip inspect name outside_inspection h323
ip inspect name outside_inspection icmp
ip inspect name outside_inspection pptp
! Enable CBAC on outside interface
interface FastEthernet4
description outside interface
ip inspect name outside_inspection in
ip inspect name outside_inspection out
! ip access-group, ip nat, and others possible as well on FastEthernet4