因此,我们有一个小问题是任何内部服务器都没有(非ICMP)访问到外面被阻止。 我们目前的configuration是:
inside_access_in any ---> any ---> icmp inside_access_out any ---> any ---> ip 我明白,如果我添加“任何 – 任何 – IP”inside_access_in可能会解决这个问题,对吧? 我的主要问题是,为什么?
inside_access_in和inside_access_out有什么区别?
将添加“任何 – >任何 – > IP”“inside_access_in”提供从外部世界的任何额外的访问内部接口 – 我不想做的事情..
这里是sh run access-group;
sh run access-group access-group inside_access_in in interface inside access-group inside_access_out out interface inside access-group outside_access_in in interface outside
inside_access_in和inside_access_out有什么区别?
Inside_access_in和Inside_access_out只是访问列表的好名字。
在你的情况下,Inside_access_in是一个“入站”访问列表,而inside_access_out是一个“出站”访问列表。 入站访问列表应用于stream量,因为它进入该接口。 相反,出站访问列表适用于stream量,因为它会退出该接口。 因此,如果您将入站访问列表应用于内部接口,则它将应用于从内部networking进入内部接口的stream量。 合理?
目前,您的configuration可防止任何非icmpstream量进入防火墙的内部接口。
我明白,如果我添加“任何 – 任何 – IP”inside_access_in可能会解决这个问题,对吧? 我的主要问题是,为什么?
是的,正如我之前提到的那样,您目前只允许ICMPstream量从内部networking进入内部接口,您需要允许其他types的stream量。
将添加“任何 – >任何 – > IP”“inside_access_in”提供从外部世界的任何额外的访问内部接口 – 我不想做的事情..
不,它不会允许来自外部的任何额外stream量。 但是,它将允许从您的内部接口的所有stream量到达外部,这可能或可能不是你想要的东西。
通常情况下,您将在内部接口上设置入站访问列表,以仅允许实际想要离开networking和访问外部世界的stream量types。
此外,我看到您正在使用出站访问列表,我认为这是您的许多困惑的来源。 如果您有需要的用例,则只应使用出站访问列表。 默认情况下,思科ASA将允许从更高安全性接口(内部)到更低安全性接口(外部)的所有stream量。 假设您已经正确设置了您的安全级别,那么这将使您当前的出站访问列表完全冗余。 我build议你给这个思科文章一个很好的解读,因为它解释了你目前的困境。
http://www.cisco.com/c/en/us/td/docs/security/asa/asa70/configuration/guide/config/nwaccess.html