Cisco
具有 DHCP 獲得地址的 Cisco 12.4 ACL
我認為這將是一個簡單的問題,但我自己在找到這個答案時遇到了很多麻煩。我有一個 Cisco 路由器,我正在設置它在一個通過 DHCP 獲取 IP 的介面(外部)上進行 Internet 連接,而我的 LAN 在另一個具有內部靜態 IP 的介面(內部)上。我還將埠 80 轉發到內部地址(使用“ip nat inside source static…interface fa0/0…)。
一切正常,但我對將入站應用到外部介面的 ACL 有疑問。我目前有這個:“允許 tcp 任何任何 eq www”。這可行,但我想知道這是否安全。通常我會指定外部 IP 以更具體地匹配,但我不一定有 IP,因為它是通過 DHCP 學習的。有沒有辦法準確地指定這一點,或者這條許可線是否合適。
這不應該有任何安全問題。無論如何,您都在執行 NAT,只轉發了一個埠……所以唯一應該通過的流量是埠 80 流量,它總是會轉到您映射的 IP。