Cisco ASA - diferença entre inside_access_in e inside_access_out?

Question

Cisco ASA - diferença entre inside_access_in e inside_access_out?

#1 resposta do (4 votos)

1

Portanto, um problema menor que temos é que qualquer servidor interno que não tenha acesso (não-icmp) ao exterior está sendo bloqueado. Nossa configuração atual é:

inside_access_in any ---> any ---> icmp  
inside_access_out any ---> any ---> ip

Eu entendo que se eu adicionar "any-any-ip" ao inside_access_in, isso provavelmente resolverá o problema, certo? minha principal questão é, por quê?

qual é a diferença entre inside_access_in e inside_access_out?

adicionará "any - > any - > ip" a "inside_access_in" fornecerá acesso adicional do mundo externo às interfaces internas - algo que não quero fazer ..

aqui está o sh-run access-group;

sh run access-group
access-group inside_access_in in interface inside
access-group inside_access_out out interface inside
access-group outside_access_in in interface outside

networking firewall cisco cisco-asa

por Tom G11 18.01.2015 / 05:07

1 resposta

Tags networking firewall cisco cisco-asa

Quais formatos de arquivos compactados são eficientes com rsync? VMware Tools para Windows Server 2012 R2 no vSphere 6

score 4 · Accepted Answer

what is the difference between inside_access_in and inside_access_out ?

Inside_access_in e Inside_access_out são apenas nomes amigáveis para suas listas de acesso.

No seu caso, Inside_access_in é uma lista de acesso 'Inbound', e inside_access_out é uma lista de acesso 'Outbound'. Uma lista de acesso de entrada é aplicada ao tráfego quando ENTRA a interface. Inversamente, uma lista de acesso de saída é aplicada ao tráfego à medida que EXIT essa interface. Portanto, se você aplicar uma lista de acesso de entrada à sua interface interna, ela será aplicada ao tráfego que entra na interface interna da rede interna. Faz sentido?

Atualmente, sua configuração impede que qualquer tráfego não ICMP entre na interface interna do firewall.

I understand that if i add "any - any - ip" to inside_access_in that will probably fix the problem, right? my main question is, why?

Sim, isso está correto, como mencionei antes, você está atualmente APENAS permitindo que o tráfego ICMP entre na interface interna a partir da rede interna, você precisa permitir outros tipos de tráfego.

will adding "any --> any --> ip" to "inside_access_in" provide any additional access from the outside world to the internal interfaces - something I don't want to do..

Não, não permitirá tráfego adicional no EXTERIOR. No entanto, ele permitirá que todo o tráfego de sua interface interna chegue ao exterior, isso pode ou não ser algo que você deseja.

Normalmente, você define a lista de acesso de entrada na sua interface interna para permitir apenas os tipos de tráfego que você realmente deseja deixar na rede e acessar o mundo externo.

Além disso, vejo que você está usando as listas de acesso de saída e acho que isso é a fonte de grande parte da sua confusão. Você só deve usar listas de acesso de saída se tiver um caso de uso que o exija. Por padrão, um Cisco ASA permitirá todo o tráfego de uma interface de segurança superior (Inside) para uma interface de segurança inferior (Outside). Contanto que você tenha definido seus níveis de segurança corretamente, isso tornaria sua lista de acesso de saída atual completamente redundante. Eu sugiro que você dê a este artigo da Cisco uma boa leitura, pois isso explica seus problemas atuais.

link