我有两个接口的思科ASA 5505(版本8.2(2)); 内部(安全级别100)和外部(安全级别50)。 里面有一个子网10.1.1.0/24。
交通从内到外都没有NAT, 这是由上游路由器处理的。
我想configuration防火墙,以便内部接口上的任何系统都可以启动到外部的连接并接收返回的stream量,但是外部世界不能启动到内部系统的连接。 让stream量很容易:
access-list inside_in extended permit IP 10.1.1.0 255.255.255.0 any 但是我需要在ASA上configuration什么,才能在不打开防火墙的情况下让响应返回到所有stream量? 通常这是由NAT处理,但在这种情况下,我不想使用NAT。
我上次检查时,从高安全区域(100)到低安全区域时,不需要定义规则,默认情况下是允许的。
这就是说,你会想看看既定的文件。 也不会伤害到快速浏览安全级别的文档。
ASA默认是有状态的。 如果您允许stream量(通过安全级别处理或通过ACL)stream出,它将自动允许返回stream量通过。
我会倾向于相信你实际上正在遇到一个无法控制的问题。 Nat-control强制使用NAT,也就是说,如果启用了nat-control,则任何穿越防火墙接口的stream量都必须进行NAT或将其丢弃。 在8.2代码中, nat-control是默认启用的。
既然你提到你没有在你的防火墙上执行NAT,你还必须使用全局configuration中的no nat-control命令禁用nat-control。 也就是说,或者configurationNAT豁免来指示你的防火墙不对你的stream量进行NAT转换,同时还能满足nat-control。
要检查它是否启用: show run nat-control
我没有ASA经验,但使用Cisco IOS,您允许stream量返回的方式是使用ip inspect命令,这属于基于上下文的访问控制(CBAC) 。 这将启用IOS上的状态防火墙function,并在防火墙(ACL)中创build临时漏洞以允许相关stream量。
也许它是一样的ASA?