我认为这很简单,但我自己也费了不少劲才找到答案。我有一台 Cisco 路由器,正在设置一个接口(外部),通过 DHCP 获取 IP,将 Internet 连接放在一个接口(外部),将 LAN 放在另一个接口(内部),该接口具有内部静态 IP。我还将端口 80 转发到内部地址(使用“ip nat inside source static...interface fa0/0...”)。
一切正常,但我对应用于外部接口的入站 ACL 有疑问。我目前有这个:“permit tcp any any eq www”。这有效,但我想知道这是否安全。通常我会指定外部 IP 以更具体地匹配,但我不一定有 IP,因为它是通过 DHCP 学习的。有没有办法准确地指定这一点,或者这个允许行是否合适。
答案1
这不应该有任何安全问题。无论如何,您正在运行 NAT,只有一个端口被转发...因此唯一应该通过的流量是端口 80 流量,并且它将始终转到您映射的 IP。