因此,我们遇到的一个小问题是,任何没有(非 ICMP)访问外部的内部服务器都被阻止。我们当前的配置是:
inside_access_in any ---> any ---> icmp
inside_access_out any ---> any ---> ip
我知道如果我将“any - any - ip”添加到 inside_access_in 中,可能会解决问题,对吗?我的主要问题是,为什么?
inside_access_in 和 inside_access_out 之间有什么区别?
将“any --> any --> ip”添加到“inside_access_in”是否会提供从外部世界到内部接口的任何额外访问 - 这是我不想做的..
这里是 sh run access-group;
sh run access-group
access-group inside_access_in in interface inside
access-group inside_access_out out interface inside
access-group outside_access_in in interface outside
答案1
inside_access_in 和 inside_access_out 之间有什么区别?
Inside_access_in 和 Inside_access_out 只是访问列表的友好名称。
在您的例子中,Inside_access_in 是“入站”访问列表,而 inside_access_out 是“出站”访问列表。入站访问列表应用于进入该接口的流量。相反,出站访问列表应用于退出该接口的流量。因此,如果您将入站访问列表应用于内部接口,那么它将应用于从内部网络进入内部接口的流量。明白了吗?
目前,您的配置正在阻止任何非 icmp 流量进入防火墙的内部接口。
我知道如果我将“any - any - ip”添加到 inside_access_in 中,可能会解决问题,对吗?我的主要问题是,为什么?
是的,正确,正如我之前提到的,您当前仅允许 ICMP 流量从内部网络进入内部接口,您需要允许其他类型的流量。
将“any --> any --> ip”添加到“inside_access_in”是否会提供从外部世界到内部接口的任何额外访问 - 这是我不想做的..
不,它不会允许来自外部的任何额外流量。但是,它将允许来自内部接口的所有流量到达外部,这可能是也可能不是您想要的。
通常,您会在内部接口上设置入站访问列表,以仅允许您实际想要离开网络并访问外部世界的流量类型。
此外,我看到您正在使用出站访问列表,我认为这是您感到困惑的原因。只有在有需要它的用例时才应使用出站访问列表。默认情况下,Cisco ASA 将允许所有流量从较高安全性接口(内部)流向较低安全性接口(外部)。只要您正确设置了安全级别,这将使您当前的出站访问列表完全冗余。我建议您仔细阅读这篇 Cisco 文章,因为它解释了您当前的困境。
http://www.cisco.com/c/en/us/td/docs/security/asa/asa70/configuration/guide/config/nwaccess.html