Назад | Перейти на главную страницу

Cisco ASA: разрешить установленный трафик обратно в

У меня Cisco ASA 5505 (версия 8.2 (2)) с двумя интерфейсами; внутри (уровень безопасности 100) и снаружи (уровень безопасности 50). Внутри одна подсеть, 10.1.1.0/24.

Нет NAT для трафика, идущего изнутри наружу; это обрабатывается вышестоящим маршрутизатором.

Я хочу настроить брандмауэр так, чтобы любая система на внутреннем интерфейсе могла инициировать соединение с внешним миром и получать ответный трафик, но внешний мир не мог инициировать соединения с внутренними системами. Спустить трафик легко:

access-list inside_in extended permit IP 10.1.1.0 255.255.255.0 any 

но что мне нужно настроить на ASA, чтобы ответы возвращались, не открывая межсетевой экран для всего трафика? обычно это обрабатывается NAT, но в этом случае я не хочу использовать NAT.

В прошлый раз, когда я проверял, вам не нужно определять правило при переходе из зоны высокой безопасности (100) в зону с меньшей безопасностью, это разрешено по умолчанию.

При этом вам захочется посмотреть на установлен документация. Также не помешает бегло взглянуть на уровень безопасности документы тоже.

По умолчанию ASA сохраняет состояние. Если вы разрешите выход трафика (либо обработкой уровня безопасности, либо ACL), он автоматически разрешит обратный трафик обратно.

Я склонен полагать, что вы действительно сталкиваетесь с нат-контроль вопрос. Nat-control принудительно использует NAT, то есть если nat-control включен, любой трафик, проходящий через интерфейсы межсетевого экрана, ДОЛЖЕН быть преобразован в NAT, иначе он будет сброшен. В коде 8.2 нат-контроль по умолчанию включен.

Поскольку вы упомянули, что не используете NAT на своем брандмауэре, вам также придется отключить nat-control с помощью команды нет нац-контроля из глобальной конфигурации. Это или настройте исключения NAT, чтобы ваш брандмауэр не NAT ваш трафик, все еще удовлетворяя nat-control.

Чтобы проверить, включен ли он: показать запустить nat-control

У меня нет опыта работы с ASA, но с Cisco IOS вы разрешаете трафик обратно с помощью ip inspect команда, и это подпадает под Контроль доступа на основе контекста (CBAC). Это включает функцию брандмауэра с отслеживанием состояния на IOS и создает временные дыры в брандмауэре (ACL) для разрешения связанного трафика.

Может это то же самое ASA?