我有一台 Cisco ASA 5505(版本 8.2(2)),有两个接口:内部(安全级别 100)和外部(安全级别 50)。内部有一个子网,10.1.1.0/24。
从内部到外部的流量没有 NAT;这由上游路由器处理。
我想配置防火墙,以便内部接口上的任何系统都可以启动与外部世界的连接并接收返回流量,但外部世界无法启动与内部系统的连接。让流量流出很容易:
access-list inside_in extended permit IP 10.1.1.0 255.255.255.0 any
但是我需要在 ASA 上配置什么才能让响应返回,而无需向所有流量开放防火墙?通常这由 NAT 处理,但在这种情况下我不想使用 NAT。
答案1
答案2
ASA 默认是有状态的。如果您允许流量出去(通过安全级别处理或 ACL),它将自动允许返回流量通过。
我倾向于相信你实际上遇到了一个nat-控制问题。Nat-control 强制使用 NAT,也就是说,如果启用了 nat-control,则任何穿越防火墙接口的流量都必须进行 NAT,否则将被丢弃。在 8.2 代码中,nat-控制默认启用。
由于您提到您没有在防火墙上执行 NAT,因此您还必须使用以下命令禁用 nat-control无自然控制从全局配置。或者配置 NAT 豁免以指示您的防火墙不是对您的流量进行 NAT,同时仍满足 nat-control。
检查是否已启用:显示运行 nat-control
答案3
我没有使用过 ASA,但使用 Cisco IOS 允许流量重新进入的方式是使用命令ip inspect,这属于基于上下文的访问控制 (CBAC)。这将启用 IOS 上的状态防火墙功能,并在防火墙 (ACL) 中创建临时漏洞以允许相关流量。
也许和 ASA 一样?