Я подумал, что это будет легко, но у меня были большие проблемы с поиском этого ответа. У меня есть маршрутизатор Cisco, который я настраиваю для подключения к Интернету на одном интерфейсе (внешнем), который получает IP-адрес через DHCP, а моя локальная сеть - на другом интерфейсе (внутреннем), который имеет внутренний статический IP-адрес. У меня также есть порт 80, перенаправленный на внутренний адрес (используя "ip nat inside source static ... interface fa0 / 0 ...").
Все работает правильно, но у меня есть вопрос о ACL, который я применяю для входящих подключений к внешнему интерфейсу. У меня в настоящее время есть это: "разрешить tcp любой любой eq www". Это работает, но мне интересно, безопасно ли это. Обычно я бы указывал внешний IP-адрес для более точного соответствия, но у меня не обязательно есть IP-адрес, поскольку он узнается через DHCP. Есть ли способ точно указать это или уместна ли эта строка разрешения.
При этом не должно быть никаких проблем с безопасностью. Вы все равно используете NAT, и только один порт перенаправлен ... поэтому единственный трафик, который должен проходить, - это трафик порта 80, и он всегда будет идти на IP-адрес, который вы сопоставили.