好的,假设我有一个如下所示的入口访问列表:
access-list outside_in extended ip permit any X.Y.Z.1 eq 25
access-group outside_in in interface outside
我想进行出口过滤。我想允许内部机器在端口 80 上响应,我想允许超过 1024 的端口。鉴于防火墙是全状态的,我是否需要制定规则
access-list inside_in extended ip permit X.Y.Z.1 any eq 25
在我的 inside_in ACL 中,或者我可以只使用
access-list inside_in extended ip permit any any gt 1024
access-group inside_in in interface inside
换句话说,如果我应用出口访问列表,我是否必须明确允许机器响应入口访问列表允许的请求,或者防火墙的状态性是否会为我处理?
谢谢!
答案1
一旦建立 TCP 连接,流量就会被评估和允许,这会影响流量的生命周期;不再需要出站规则。
答案2
简而言之:在为 TCP 连接构建规则时,您只需考虑第一个 SYN 将采用的路径。构建允许那些且仅允许那些您认为可接受的 SYN 的 ACL,防火墙将处理其余的事情。
我建议只遵守入口规则,除非你有充分的理由不这样做。这个例子看起来不像是一个。