具有 DHCP 獲得地址的 Cisco 12.4 ACL

我認為這將是一個簡單的問題，但我自己在找到這個答案時遇到了很多麻煩。我有一個 Cisco 路由器，我正在設置它在一個通過 DHCP 獲取 IP 的介面（外部）上進行 Internet 連接，而我的 LAN 在另一個具有內部靜態 IP 的介面（內部）上。我還將埠 80 轉發到內部地址（使用“ip nat inside source static…interface fa0/0…）。

一切正常，但我對將入站應用到外部介面的 ACL 有疑問。我目前有這個：“允許 tcp 任何任何 eq www”。這可行，但我想知道這是否安全。通常我會指定外部 IP 以更具體地匹配，但我不一定有 IP，因為它是通過 DHCP 學習的。有沒有辦法準確地指定這一點，或者這條許可線是否合適。

這不應該有任何安全問題。無論如何，您都在執行 NAT，只轉發了一個埠……所以唯一應該通過的流量是埠 80 流量，它總是會轉到您映射的 IP。

引用自：https://serverfault.com/questions/337443