Eu tenho um Cisco ASA 5505 (ver 8.2 (2)) com duas interfaces; dentro (nível de segurança 100) e fora (nível de segurança 50). Existe uma sub-rede no interior, 10.1.1.0/24.
Não há nenhum NAT para o tráfego que se move de dentro para fora; que é manipulado por um roteador upstream.
Eu quero configurar o firewall para que qualquer sistema na interface interna possa iniciar uma conexão com o mundo externo e receber o tráfego de retorno, mas o mundo externo não pode iniciar conexões com os sistemas internos. Deixar o tráfego sair é fácil:
access-list inside_in extended permit IP 10.1.1.0 255.255.255.0 any
mas o que eu preciso configurar no ASA para deixar as respostas de volta sem abrir o firewall para todo o tráfego? normalmente isso é tratado pelo NAT, mas neste caso eu não quero usar o NAT.
A última vez que verifiquei, você não precisa definir uma regra ao atravessar de uma zona de alta segurança (100) para uma zona de segurança mais baixa, ela é permitida por padrão.
Dito isto, você vai querer olhar para o estabelecido documentação. Também não faz mal dar uma olhada rápida no nível de segurança docs também.
O ASA é stateful por padrão. Se você permitir o tráfego (seja por processamento em nível de segurança ou por ACL), ele permitirá que o tráfego de retorno volte automaticamente.
Eu estaria inclinado a acreditar que você está realmente se deparando com uma questão nat-control . O Nat-control impõe o uso do NAT, ou seja, se o nat-control estiver habilitado, qualquer interface de firewall de tráfego deve ser NAT ou ser descartada. No código 8.2, o nat-control é ativado por padrão.
Desde que você mencionou que não está fazendo NAT no seu Firewall, você também terá que desabilitar o nat-control usando o comando no nat-control da configuração global. Isso, ou configure NAT Exemptions para instruir seu firewall para não NAT do seu tráfego, enquanto ainda satisfaz o nat-control.
Para verificar se está ativado: show run nat-control
Eu não tenho experiência em ASA, mas com o Cisco IOS, a maneira como você permite o tráfego de volta é com o comando ip inspect e isso se enquadra em Controle de acesso baseado em contexto (CBAC) . Isso ativa um recurso de firewall com informações de estado no IOS e cria furos temporários no firewall (ACL) para permitir tráfego relacionado.
Talvez seja o mesmo da ASA?