Cisco ASA: Permitir o tráfego estabelecido de volta

3

Eu tenho um Cisco ASA 5505 (ver 8.2 (2)) com duas interfaces; dentro (nível de segurança 100) e fora (nível de segurança 50). Existe uma sub-rede no interior, 10.1.1.0/24.

Não há nenhum NAT para o tráfego que se move de dentro para fora; que é manipulado por um roteador upstream.

Eu quero configurar o firewall para que qualquer sistema na interface interna possa iniciar uma conexão com o mundo externo e receber o tráfego de retorno, mas o mundo externo não pode iniciar conexões com os sistemas internos. Deixar o tráfego sair é fácil:

access-list inside_in extended permit IP 10.1.1.0 255.255.255.0 any 

mas o que eu preciso configurar no ASA para deixar as respostas de volta sem abrir o firewall para todo o tráfego? normalmente isso é tratado pelo NAT, mas neste caso eu não quero usar o NAT.

    
por DrStalker 21.06.2010 / 10:29

3 respostas

3

A última vez que verifiquei, você não precisa definir uma regra ao atravessar de uma zona de alta segurança (100) para uma zona de segurança mais baixa, ela é permitida por padrão.

Dito isto, você vai querer olhar para o estabelecido documentação. Também não faz mal dar uma olhada rápida no nível de segurança docs também.

    
por 22.06.2010 / 03:53
1

O ASA é stateful por padrão. Se você permitir o tráfego (seja por processamento em nível de segurança ou por ACL), ele permitirá que o tráfego de retorno volte automaticamente.

Eu estaria inclinado a acreditar que você está realmente se deparando com uma questão nat-control . O Nat-control impõe o uso do NAT, ou seja, se o nat-control estiver habilitado, qualquer interface de firewall de tráfego deve ser NAT ou ser descartada. No código 8.2, o nat-control é ativado por padrão.

Desde que você mencionou que não está fazendo NAT no seu Firewall, você também terá que desabilitar o nat-control usando o comando no nat-control da configuração global. Isso, ou configure NAT Exemptions para instruir seu firewall para não NAT do seu tráfego, enquanto ainda satisfaz o nat-control.

Para verificar se está ativado: show run nat-control

    
por 21.10.2011 / 18:19
0

Eu não tenho experiência em ASA, mas com o Cisco IOS, a maneira como você permite o tráfego de volta é com o comando ip inspect e isso se enquadra em Controle de acesso baseado em contexto (CBAC) . Isso ativa um recurso de firewall com informações de estado no IOS e cria furos temporários no firewall (ACL) para permitir tráfego relacionado.

Talvez seja o mesmo da ASA?

    
por 21.06.2010 / 13:11