我inheritance了2811路由器的pipe理,除了其他的东西(这是我们的核心路由器和VPN端点…我讨厌它是一个盒子,但现在不能分解它)我们之间使用IOS和互联网的防火墙防火墙。 我熟悉防火墙的概念和pipe理,但对思科防火墙没有多less经验,所以我一直在阅读networking上的东西,并将其与2811的configuration进行比较,以便了解它。 最近我发现这篇文章:
在科技共和国的文章
这是非常简单的,除了在我们的2811我们有互联网接口ACL 允许我们想要允许IOS防火墙的stream量。 通过这种方式为input和输出stream量(一个ACLinput,一个ACL输出)设置。 就像文章中的那样,我们有“ip检查”语句,但是我们的相关ACL似乎与文章所说的相反。
它确实有效,但是……为什么文章会拒绝而不是允许?
这篇文章有误导性的措辞; 你认为它应该工作的方式是正确的。 允许通信, deny阻止它,并且对ACL中任何行不匹配的任何内容都有一个隐式拒绝。
有一点需要记住IOS防火墙是stream向,你的互联网出站stream量是在内部接口上传入的。 对于互联网风格的stream量,通常会将接入组传入接口,并检查外部接口的input/输出。