Networking

Cisco ASA - inside_access_in 和 inside_access_out 之間的區別?

  • January 18, 2015

所以我們遇到的一個小問題是任何內部伺服器都沒有(非icmp)對外部的訪問被阻止。我們目前的配置是:

inside_access_in any ---> any ---> icmp  
inside_access_out any ---> any ---> ip 

我知道如果我在 inside_access_in 添加“任何 - 任何 - ip”,這可能會解決問題,對吧?我的主要問題是,為什麼?

inside_access_in 和 inside_access_out 有什麼區別?

將“any –> any –> ip”添加到“inside_access_in”提供從外部世界到內部介面的任何額外訪問——這是我不想做的事情。

這是 sh 執行訪問組;

sh run access-group
access-group inside_access_in in interface inside
access-group inside_access_out out interface inside
access-group outside_access_in in interface outside

inside_access_in 和 inside_access_out 有什麼區別?

Inside_access_in 和 Inside_access_out 只是訪問列表的友好名稱。

在您的情況下, Inside_access_in 是一個“入站”訪問列表,而 inside_access_out 是一個“出站”訪問列表。入站訪問列表應用於進入該介面的流量。相反,出站訪問列表會在流量退出該介面時應用於流量。因此,如果您將入站訪問列表應用於您的內部介面,那麼它將應用於從內部網路進入內部介面的流量。有道理?

目前,您的配置正在阻止任何非 icmp 流量進入防火牆的內部介面。

我知道如果我在 inside_access_in 添加“任何 - 任何 - ip”,這可能會解決問題,對吧?我的主要問題是,為什麼?

是的,這是正確的,正如我之前提到的,您目前只允許 ICMP 流量從內部網路進入內部介面,您需要允許其他類型的流量。

將“any –> any –> ip”添加到“inside_access_in”提供從外部世界到內部介面的任何額外訪問——這是我不想做的事情。

不,它不會允許來自外部的任何額外流量。但是,它將允許來自您內部介面的所有流量到達外部,這可能是您想要的,也可能不是您想要的。

通常,您將在內部介面上設置入站訪問列表,以僅允許您實際想要離開網路並訪問外部世界的流量類型。

此外,我看到您正在使用出站訪問列表,我認為這是您大部分困惑的根源。如果您有一個需要它的案例,您應該只使用出站訪問列表。預設情況下,Cisco ASA 將允許從安全性較高的介面(內部)到安全性較低的介面(外部)的所有流量。如果您已正確設置安全級別,那麼這將使您目前的出站訪問列表完全多餘。我建議您好好閱讀這篇 Cisco 文章,因為它解釋了您目前的困境。

http://www.cisco.com/c/en/us/td/docs/security/asa/asa70/configuration/guide/config/nwaccess.html

引用自:https://serverfault.com/questions/660373